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内 容 简介 


网 络 安全 是 在 分 布 网络 环 境 中 ,对 信息 载体 (处 理 载体 、 存 储 载体 、 传 输 载 体 ) 和 信息 的 处 理 、 传 输 、 
存储 ,访问 提供 安全 保护 ,以 防止 数据 ,信息 内 容 或 能 力 被 非 授 权 使 用 、 算 改 或 拒绝 服务 。 

全 书 共 分 4 篇 20 章 , 全 面 讲述 网 络 安全 的 基础 知识 (网 络 安全 的 入门 和 基础 ), Internet 安全 体系 结 
构 ( 依 照 Internet 层次 结构 的 原则 ,对 不 同类 型 的 攻击 实施 不 同 层 的 保护 ), 网 络 安全 技术 (防火 墙 、 
VPN IPSec .黑客 技术 .漏洞 扫描 \, 和 人 侵 检 测 、 恶 意 代码 与 计算 机 病毒 的 防治 .系统 平台 及 应 用 安全 ) 及 网 
络 安全 工程 (网 络 安全 设计 、 管 理 和 评估 ) 。 

本 书 内 容 翔 实 ,结构 合理 ,概念 清楚 ,语言 精练 ,实用 性 强 ,易于 教学 。 

本 书 可 作为 信息 安全 ,计算 机 和 通信 等 专业 本 科 生 和 研究 生 的 教科 书 ,也 可 供 从 事 相 关 专业 的 教 
学 .科研 和 工程 人 员 人 参考 。 

本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ， 无 标签 者 不 得 销售 。 
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出 版 说 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮乏 , 远 远 不 能 满足 金融 .商业 .公安 .军事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设 立信 息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 
育 专 业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 "编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,共同 指导 “高 等 
院 校 信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ， 
认真 研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 
脆性 的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安全 专业 的 发 展 不 断 深 
入 。 经 过 编 委 会 全 体委 员 及 相关 专家 的 推荐 和 审定 ,确定 了 本 丛书 首 批 教材 的 
作者 ,这 些 作者 绝 大 多 数 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 衣 、 又 在 教学 第 
一 线 有 丰富 的 教学 经 验 的 学 者 、 专 家 。 

本 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

@ 体系 完整 结构 合理 、 内 容 先进 。 

@ 适应 面 广 :能 够 满足 信息 安全 .计算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

@ 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 、 习 题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科 学 技术 的 新 发 展 。 

为 了 保证 出 版 质量 ,我 们 坚持 宁 缺 考 滥 的 原则 ,成 熟 一 本 ,出 版 一 本 ,并 
保持 不 断 更 新 ,力求 将 我 国信 息 安全 领域 教育 .科研 的 最 新 成 果 和 成 熟 经 验 
反映 到 教材 中 来 。 在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专 
家 的 推荐 和 审定 , 遗 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 到 本 系列 教 
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材 中 ,以 进一步 满足 大 家 对 外 版 书 的 需求 。 热 切 期 望 广大 教师 和 科研 工作 者 加 入 我 们 的 
队伍 ,同时 也 欢迎 广大 读者 对 本 系列 教材 提出 宝贵 意见 ,以 便 我 们 对 本 系列 教材 的 组 织 、 
编写 与 出 版 工作 不 断 改进 ,为 我 国信 息 安 全 专业 的 教材 建设 与 人 才 培 养 做 出 更 大 的 贡献 。 

“高 等 院 校 信息 安全 专业 系列 教材 ”已 于 2006 年 年 初 正 式 列 人 普通 高 等 教育 “十 一 
五 ”国家 级 教材 规划 ( 见 教 高 [2006]9 号 文件 (教育 部 关于 印发 普通 高 等 教育 “十 一 五 ” 国 
家 级 教材 规划 选 题 的 通知 》) 。 我 们 会 严 把 出 版 环节 ,保证 规划 教材 的 编校 和 印刷 质量 , 按 
时 完成 出 版 任务 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 暨 第 一 次 会 
议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 主任 单 
位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 等 学 校 信息 
安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 将 起 到 重要 的 指导 和 推动 
作用 。“ 高 等 院 校 信息 安全 专业 系列 教材 ”将 在 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 
委员 会 的 组 织 和 指导 下 ,进一步 体现 科学 性 、 系 统 性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 
建设 的 新 成 果 , 并 随 着 我 国信 息 安 全 学 科 的 发 展 不 断 修订 和 完善 。 

我 们 的 E-mail 地 址 : zhangm@tup. tsinghua. edu. cn; 联 系 人 : 张 民 。 


清华 大 学 出 版 社 


第 2 版 前 言 一 


网 络 安全 ,尤其 是 Internet 安全 正面 临 着 严重 的 挑战 ,一 方面 是 Internet 
规模 的 扩大 和 关键 应 用 的 激增 ,因而 对 网 络 安全 的 需求 很 高 ; 另 一 方面 是 网 
络 安全 攻击 的 持续 增加 、 安 全 漏洞 的 增长 ,使 实施 网 络 安全 的 难度 大 大 增加 。 

从 网 络 安全 体系 结构 的 观点 看 ,不 同类 型 的 漏洞 .攻击 ` 威 胁 存在 于 网 络 
的 不 同 层次 。 层 次 的 方案 深入 研究 网 络 环境 的 各 种 技术 及 每 一 层次 的 每 种 
技术 的 复杂 性 。 第 2 版 充实 了 Internet 安全 体系 结构 的 内 容 , 更 新 了 一 些 网 
络 安全 技术 及 网 络 安全 管理 技术 。 具 体 有 以 下 几 点 : 

(1) 第 1 章 增加 了 一 节 网 络 安全 挑战 ,论述 了 当前 网 络 安全 形势 。 

(2) 第 5 章 改 为 安全 体系 结构 ,论述 了 系统 安全 体系 结构 .OSI 安全 体 
系 结构 及 网 络 安全 体系 结构 。 

(3) 第 2 篇 改 为 Internet 安全 体系 结构 ,论述 了 依照 层次 结构 的 原则 ， 
对 不 同类 型 的 攻击 实施 不 同 层 的 保护 。 

(4) 更 新 了 第 11 一 13 章 及 第 15 章 部 分 内 容 。 

(5) 参照 新 公布 的 ISO/IEC FDIS 18028 重新 编写 了 第 19 章 网 络 安全 
管理 。 

本 书 共 分 4 篇 20 章 。 第 1 篇 为 网 络 安全 基础 知识 , 共 5 章 , 是 网 络 安全 
的 入 门 和 基础 知识 。 第 2 篇 为 Internet 安全 体系 结构 , 共 2 章 ,讲述 依照 
Internet 层 次 结构 的 原则 ,对 不 同类 型 的 攻击 实施 不 同 层 的 保护 。 第 3 篇 为 
网 络 安全 技术 , 共 9 章 , 讲 述 各 种 网 络 安全 技术 。 第 4 篇 为 网 络 安全 工程 , 共 
4 章 , 分 别 讲述 网 络 安全 设计 .管理 和 评估 。 

每 章 开始 列 出 本 章 要 点 .每 章 最 后 一 节 给 出 小 结 .概要 地 总 结 本 章 的 要 
点 。 每 章 结 尾 附 有 习题 ,帮助 读者 复习 。 

本 书 可 作为 信息 安全 .计算 机 和 通信 等 专业 本 科 生 和 研究 生 的 教科 书 ， 
也 可 供 从 事 相关 专 业 的 教学 .科研 和 工程 人 员 人 参考 。 

本 书 由 胡 道 元 教授 主编 并 编著 了 第 1~7 章 、 第 17、18 和 20 章 , 闵 京华 
博士 编著 了 第 14.16 和 19 章 , 朱 卫 国 编著 了 第 15 章 , 陆 新 宇 、 邢 羽 嘉 编著 了 
第 11 一 13 章 。 黄 新 民 , 刘 旺 泉 编著 了 第 8 一 10 章 。 

参与 第 2 版 编写 的 有 胡 道 元 (第 1 章 、 第 5 一 7 章 ) 、 闵 京华 (第 19 章 )、 朱 
卫 国 (第 15 章 )、 陆 新 宇 (第 11 一 13 章 ) 。 


胡 道 元 于 北京 


第 工 版 前 言 一 


我 们 生存 的 世界 并 不 安宁 ,人 们 渴望 有 一 个 安全 .和 平 的 生存 空间 , 随 着 
信息 技术 的 发 展 ,特别 是 网 络 的 发 展 ,人 们 的 诸多 活动 越 来 越 多 地 依赖 于 网 
络 空间 ,然而 ,网 络 空 间 并 非 总 是 安全 的 。 

当前 我 国 的 网 络 安全 正面 临 着 严峻 的 挑战 。 一 方面 , 随 着 电子 政务 工程 
的 启动 .电子 商务 的 开展 以 及 国家 关键 基础 设施 的 网 络 化 ,网 络 安全 的 需求 
更 加 严格 和 迫切 。 另 一 方面 ,黑客 攻击 、 病 毒 传播 以 及 形形色色 的 网 络 攻击 
日 益 增 加 ,网 络 安全 防线 十 分 脆弱 。 

网 络 安全 是 在 分 布 网 络 环境 中 ,对 信息 载体 (处 理 载 体 、 存 储 载体 \ 传 输 
载体 ) 和 信息 的 处 理 , 传 输 、 存 储 、 访 问 提供 安全 保护 ,以 防止 数据 ,信息 内 容 
或 能 力 被 非 授 权 使 用 、 自 改 或 拒绝 服务 。 

从 本 质 上 讲 , 安 全 就 是 风险 管理 ,风险 是 构成 安全 基础 的 基本 观念 。 风 
险 是 丢失 需要 保护 的 资产 的 可 能 性 ,是 威胁 和 漏洞 的 综合 结果 。 没 有 漏洞 的 
威胁 就 没有 风险 ,而 没有 威胁 的 漏洞 也 没有 风险 。 

“网 络 安全 ”是 信息 安全 专业 的 主要 专业 课 ,学生 应 从 以 下 三 个 方面 掌握 
网 络 安全 的 基本 原理 ,主要 技术 以 及 解决 方案 : 

(1) 网 络 安 全 体系 结构 

由 开放 系统 互 连 模型 和 Internet 层次 体系 结构 决定 了 网 络 安全 体系 结 
构 的 层次 模型 。 网 络 安全 体系 结构 描述 网 络 信息 体系 结构 在 满足 安全 需求 
方面 各 基本 元 素 之 间 的 关系 ,反映 信息 系统 安全 需求 和 网 络 体系 结构 的 共 
性 。 并 由 此 派生 了 相应 的 网 络 安全 协议 .技术 和 标准 。 

(2) 网 络 安全 技术 

单一 的 网 络 安全 技术 和 网 络 安全 产品 无 法 解决 网 络 安全 的 全 部 问题 。 
应 根据 应 用 需求 和 安全 策略 ,综合 运用 各 种 网 络 安全 技术 ,包括 防火 墙 、 
VPN IPSec .黑客 技术 .漏洞 扫描 入侵 检测 .恶意 代码 与 计算 机 病毒 的 防治 、 
系统 平台 安全 及 应 用 安全 等 。 

(3) 网 络 安全 工程 

对 网 络 安全 进行 的 综合 处 理 , 要 从 体系 结构 的 角度 ,用 系统 工程 的 方法 ， 
贯穿 网 络 安全 设计 、 开 发 .部署 .运行 ,管理 和 评估 的 全 过 程 。 

本 书 共 分 4 篇 20 章 。 第 1 篇 为 网 络 安全 基础 知识 , 共 5 章 , 是 网 络 安全 
的 和 人 门 和 基础 。 第 2 篇 为 网 络 安全 体系 结构 , 共 2 章 , 讲 述 开 放 系 统 互 连 安 
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全 体系 结构 和 Internet 安全 体系 结构 。 第 3 篇 为 网 络 安全 技术 , 共 9 章 ,讲述 各 种 网 络 安 
全 技术 。 第 4 篇 为 网 络 安全 工程 , 共 4 章 ,分 别 讲 述 网 络 安全 设计 、 管 理 . 评 估 。 

每 章 开始 列 出 本 章 要 点 ,最 后 给 出 小 结 ,概要 地 总 结 本 章 的 要 点 。 每 章 结 尾 附 有 习 
题 ,帮助 读者 复习 。 

本 书 可 作为 信息 安全 ,计算 机 ,通信 等 专业 本 科 生 ,硕士 研究 生 的 教科 书 , 也 可 供 从 事 
相关 专业 的 教学 .科研 和 工程 人 员 参 考 。 

本 书 由 胡 道 元 教授 主编 并 编著 了 第 1 章 一 第 7 章 .第 17 第 18 和 第 20 章 , 闵 京华 博 
十 编著 了 第 14、 第 16 和 第 19 章 , 朱 卫 国 编著 了 第 15 章 , 邵 忠 册 、 黄 新 民 、 刘 旺 泉 、 陆 新 
宇 , 邢 羽 嘉 分 别 编著 了 第 8 章 一 第 13 章 。 赵 青 为 书稿 的 编排 .打印 做 了 大 量 的 工作 。 闵 
京华 博士 做 了 全 书 的 最 后 校订 工作 。 
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网 络 安全 (第 2 版 ) 


本 章 要 点 : 

。 分 布 网 络 环境 下 的 安全 ; 
。 网 络 安全 的 定义 ; 

。 网 络 安全 的 基本 属性 ; 
。 网 络 安全 的 层次 结构 ; 
。 网 络 安全 模型 ; 

。 网 络 安全 挑战 ; 

。 密码 基本 概念 。 


1.1 ”网 络 安全 概述 


111 网 络 安全 的 概念 


首先 从 信息 安全 的 一 般 性 定义 来 前述。Merriam-Webster 在 线 词 典 (www. m-w. com) 
对 信息 这 个 词 作 了 广泛 而 精确 的 阐述 : 信息 是 从 调查 .研究 和 教育 获得 的 知识 ,是 情 
报 、 新 闻 .事实 .数据 ,是 代表 数据 的 信号 或 字符 ,是 代表 物质 的 或 精神 的 经 验 的 消息 、 
经 验 数据 图片。 在 线 词 典 对 安全 这 个 词 的 阐述 : 安全 是 避免 危险 . 慌 惧 .忧虑 的 度量 
和 状态 。 

将 上 述 信息 和 安全 两 个 词 的 定义 合并 起 来 ,可 给 出 信息 安全 的 一 般 性 定义 : 信息 安 
全 是 防止 对 知识 、 事 实 、 数 据 或 能 力 非 授权 使 用 、 误 用 、 算 改 或 拒绝 使 用 所 采取 的 措施 
(量度 )。 

从 信息 安全 的 一 般 性 定义 ,进一步 引出 本 书 的 主题 一 一 网 络 安 全 的 定义 。 为 此 先 给 
出 计算 机 网 络 的 定义 。 计 算 机 网 络 是 地 理 上 分 散 的 多 台 自 主 计 算 机 互联 的 集合 。 自 主 计 
算 机 这 一 概念 排除 了 网 络 系统 中 主 从 关系 的 可 能 性 。 互 联 必须 遵循 约定 的 通信 协议 ,由 
通信 设备 .通信 链 路 及 网 络 软件 实现 。 计 算 机 网 络 可 实现 信息 交互 .资源 共享 .协同 工作 
及 在 线 处 理 等 功能 。 为 了 保证 安全 ,需要 自主 计算 机 的 安全 ;互联 的 安全 , 即 用 以 实现 互 
联 的 通信 设备 .通信 链 路 、 网 络 软件 .网 络 协议 的 安全 ;各 种 网 络 应 用 和 服务 的 安全 。 总 
之 ,我 们 强调 的 是 在 分 布 网 络 环境 下 的 安全 。 

计算 机 网 络 的 通信 采用 分 组 交换 方式 ,分 组 从 源 站 出 发 通过 路 由 器 在 网 络 中 传送 ,最 
终 到 达 目 的 站 接收 。 目 前 广泛 采用 TCP/IP 协议 ,所 用 的 地 址 即 IP 地 址 。 不 难看 出 ,这 
种 基于 IP 的 Internet 有 很 多 不 安全 的 问题 。 下 面 分 别 子 以 阐述 。 
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1.IP 安 全 

在 Internet 中 , 当 信息 分 组 在 路 由 器 间 传 递 时 ,对 任何 人 都 是 开放 的 ,路 由 器 仅仅 搜 
集 信 息 分 组 中 的 目的 地 址 ,但 不 能 防止 其 内 容 被 宇 视 。 当 黑客 企图 攻击 网 络 前 ,他 必须 设 
法 登录 到 接 人 网 上 的 某 些 计算 机 ,观察 流动 的 数据 分 组 ,找到 他 感 兴趣 的 内 容 。 如 果 他 接 
近 并 进入 到 某 公司 的 一 台 外 围 计算 机 ,他 就 极 有 可 能 监视 进出 这 一 系统 的 所 有 数据 。 

黑客 最 感 兴趣 的 是 包含 口令 的 数据 分 组 。 口 令 窃听 十 分 容易 ,而 且 是 Internet 最 党 
见 的 攻击 。 黑 客 要 安装 一 个 用 于 窃取 用 户 名 和 口令 的 分 组 窃听 程序 ,这 些 程序 可 帮助 黑 
客 窃取 每 次 登录 会 话 信息 中 的 头 几 十 个 字 节 ,并 保存 起 来 。 这 些 字 节 包 括 用 户 名 和 口令 ， 
口令 通常 是 加 密 的 ,需要 对 日 常 口令 进行 破解 ,用 破解 的 口令 登录 其 他 计算 机 。 

除了 网 络 窍 听 外 , 另 一 种 攻击 称 为 网 络 主动 攻击 , 即 在 通信 系统 中 主动 插入 和 删除 信 
息 分 组 。 因 为 网 络 通信 是 基于 分 组 的 ,分 组 的 传输 经 过 不 同 的 路 径 最 后 在 目的 地 组 装 , 黑 
客 利用 现 有 的 通信 通道 ,任意 地 插入 信息 分 组 。 这 叫 作 IP 欺骗 ,实现 起 来 很 容易 ,信息 分 
组 中 包括 源 地 址 和 目的 地 址 ,但 黑客 可 对 其 进行 修改 。 黑 客 创建 一 个 看 似 发 自 某 一 站 点 
的 信息 分 组 , 当 Internet 上 的 计算 机 看 到 一 个 分 组 来 自 于 它 所 信任 的 计算 机 时 , 它 就 会 认 
为 对 方 发 出 的 信息 分 组 也 是 可 信 的 。 黑 客 就 是 利用 这 些 信任 关系 攻 入 某 台 计算 机 ,发 送 

一 个 来 自 被 信任 计算 机 的 伪造 信息 分 组 ,以 使 目的 计算 机 信任 并 接收 。 

另 一 种 主动 攻击 称 为 路 由 攻击 ,这 时 攻击 者 告诉 网 上 的 两 个 结 点 ,它们 之 间 最 近 的 传 
输 线路 就 是 经 过 他 这 台 计 算 机 的 路 径 , 这 就 使 该 台 计算 机 的 侦 听 变 得 更 容易 。 

要 解决 这 些 问题 ,在 理论 上 显得 较 容易 ,但 实现 起 来 却 不 尽 然 。 如 果 把 信息 分 组 加 
密 ,传输 过 程 中 就 不 易 解读 ;如果 对 数据 分 组 进行 验证 ,就 可 发 觉 插 入 了 伪造 信息 分 组 或 
删除 了 某 个 信息 分 组 。 对 Internet 上 信息 分 组 的 加 密 有 多 种 方法 ,例如 ,能 对 一 台 计 算 机 
的 用 户 经 网 络 登录 另 一 台 计 算 机 的 连接 进行 加 密 并 验证 的 方法 ,可 以 加 密 验 证 Internet 
上 的 Web 数据 流 的 方法 ,能 加 密 验 证 IP 通道 上 所 有 信息 的 方法 等 。 

2 DNS 安全 

Internet 对 每 台 计 算 机 的 命名 方案 称 为 域名 系统 (DNS)。 域 名 和 IP 地 址 是 一 一 对 
应 的 ,域名 易于 记忆 ,用 得 更 普遍 。 当 用 户 要 和 Internet 上 某 台 计算 机 交换 信息 时 ,只 需 
使 用 域名 ,网 络 会 自动 转换 成 IP 地 址 ,找到 该 台 计 算 机 。 同 时 域名 也 用 于 建立 URL 地 
址 和 E-mail 地 址 。 

DNS 有 两 个 概念 上 独立 的 要 点 : 一 个 是 抽象 的 , 即 指明 名 字 语 法 和 名 字 的 授权 管 
理 规则 ; 另 一 个 是 具体 的 , 即 指明 一 个 分 布 计算 系统 的 实现 , 它 能 高 效 地 将 名 字 映 射 到 
地 址 。 

域名 方案 应 包括 一 个 高 效 、 可 靠 、 通 用 的 分 布 系统 ,实现 名 字 对 地 址 的 映射 。 分 布 的 
ee 高 效 的 系统 是 指 大 多 
数 名 字 映 射 在 本 地 操作 ,只 有 少数 名 字 映 射 需要 在 Internet 上 通信 。 通 用 的 系统 是 指 它 
不 使 用 机 器 名 。 可 靠 的 系统 是 指 单 台 计算 机 的 故障 不 会 影响 系统 的 正常 运行 。 

DNS 系统 并 不 总 是 安全 的 。 当 一 台 计 算 机 向 DNS 服务 器 发 出 查询 请 求 ,并 收 到 回 
应 时 , 它 认为 这 一 回应 是 正确 的 ,DNS 服务 器 也 是 真实 的 。 其 实 DNS 服务 器 并 非 总 是 真 
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实 的 ,也 有 可 能 存在 欺骗。 计算 机 收 到 的 DNS 服务 器 的 应 答 可 能 并 不 是 来 自 DNS 服务 
器 ,而 是 来 自 其 他 地 方 的 虚假 回应 。 如 果 黑 客 改动 了 DNS 表 . 即 改动 了 从 域名 到 IP 地 址 
(或 反之 ) 的 转换 数据 ,计算 机 也 会 默认 接受 。 

这 种 黑客 攻击 的 结果 是 使 一 台 计 算 机 相信 他 的 请 求 回应 来 自 另 一 台 可 置信 计算 机 ， 
因为 通过 改变 DNS 表 , 使 黑客 计算 机 的 IP 地 址 成 为 可 信任 的 了 P 地 址 。 网 络 攻击 者 会 劫 
持 并 改变 一 个 网 络 连 接 ,攻击 者 可 能 做 各 种 类 似 的 操作 。DNS 服务 器 会 执行 修改 过 程 ， 
如 果 一 台 DNS 服务 器 的 记录 发 生 了 变化 , 它 就 会 通知 另 一 台 DNS 服务 器 ,以 致 这 种 改动 
将 在 整个 Internet 上 繁殖 。 这 与 闻 和 人 某 Web 站 点 建立 主页 页 面 的 性 质 不 同 ,黑客 通过 操 
纵 DNS 记录 合法 访问 系统 ,并 导向 他 们 制作 的 假 主页 。 他 们 并 未 攻击 DNS 服务 器 ,而 是 
攻击 DNS 服务 器 上 的 信息 流 。 

DNS 安全 问题 看 来 很 严重 , 且 难 以 解决 。 密 码 学 和 鉴别 方法 可 能 是 较 好 的 解决 途 
径 , 因 为 计算 机 不 会 贸然 相信 那些 声称 是 来 自 DNS 服务 器 的 信息 。 人 们 正在 研究 DNS 
系统 的 安全 版 本 ,但 尚 需 时 日 。 


3 拒绝 服务 (DoS) 攻 击 

(1) 发 送 SYN 信息 分 组 

第 一 例 引 起 公众 关注 的 袭击 Internet 主机 的 拒绝 服务 攻击 发 生 于 1996 年 9 月 ,一 名 
黑客 攻击 了 纽约 一 家 ISP( 公 共 访 问 网 络 ) 公 司 Panix 的 一 台 计 算 机 。 攻 击 的 方式 是 由 一 
台 远 程 计算 机 向 Panix 发 问候 语 ,Panix 计算 机 接收 并 响应 ,之 后 远程 计算 机 继续 与 之 对 
话 。 攻 击 者 操纵 远程 计算 机 的 返回 地 址 ,并 以 每 秒 50 个 SYN 信息 分 组 向 Panix 大 量 发 
送 ,Panix 难以 负担 如 此 大 量 的 信息 ,结果 引起 系统 崩溃 。 拒 绝 服务 攻击 对 通信 系统 的 破 
坏 作用 尤为 严重 ,因为 通信 系统 是 专门 用 于 通信 的 ,对 网 络 上 一 台 计 算 机 提出 大 量 的 通信 
请 求 ,最 易 使 该 台 计 算 机 崩溃 ,上 且 难以 跟踪 攻击 源 。 

(2) 邮件 炸弹 

邮件 炸弹 是 另 一 种 非常 有 效 的 拒绝 服务 攻击 。 给 某 人 发 送 过量 的 电子 邮件 可 使 他 的 
系统 满载 直至 崩溃 ,这 种 攻击 最 简单 的 办 法 就 是 向 受害 者 发 送 成 千 上 万 的 电子 邮件 ,这样 
做 会 耗 尽 受害 者 的 硬盘 空间 ,使 网 络 连接 被 迫 中 断 ,或 者 使 计算 机 系统 崩溃 , 且 难 以 找到 
攻击 者 。 

拒绝 服务 攻击 的 对 象 不 同 , 可 以 是 邮件 服务 器 .路 由 器 或 Web 服务 器 等 。 其 基本 思 
路 大 致 相同 , 即 向 目标 发 送 大 量 信息 使 其 崩溃 。 有 效 的 应 对 方式 是 在 ISP 端 进行 大 规模 
的 过 滤 ,如 果 网 络 能 阻止 拒绝 服务 攻击 ,那么 这 种 攻击 就 不 会 伤 及 目标 计算 机 。 但 ISP 过 
滤 不 仅 需 做 大 量 的 工作 ,而 且 会 使 网 络 带 宽 明 显 下 降 。 有 些 攻击 还 利用 了 系统 的 某 些 脆 
弱 性 进行 大 流量 攻击 。 有 人 提议 将 让 客户 端 在 连接 网 络 时 进行 稍 复杂 的 计算 作为 一 种 防 
范 措施 。 如 果 客户 机 需 花 费 一 定时 间 才 能 完成 一 个 网 络 连 接 , 那 么 它 就 不 能 与 目标 机 进 
行 大 量 的 连接 。 但 这 对 于 分 布 式 拒绝 服务 攻击 却 无 效 。 

4 分 布 式 拒 绝 服务 (DDoS) 攻 击 

分 布 式 拒绝 服务 攻击 是 拒绝 服务 群起 进攻 的 方式 。 这 种 攻击 与 传统 的 拒绝 服务 攻击 
一 样 , 只 不 过 进攻 源 不 止 一 个 。 黑 客 首先 进入 成 百 上 千 没 有 安全 防护 系统 的 计算 机 ,人 侵 
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者 在 计算 机 内 安装 一 个 攻击 程序 ,之 后 他 控制 这 些 计算 机 同时 向 目标 发 起 进攻 。 目 标 机 
即刻 受到 来 自 多 个 地 方 的 攻击 ,传统 的 防范 措施 失去 作用 ,最 终 发 生死 机 。 

在 传统 方式 的 拒绝 服务 攻击 中 ,作为 受害 者 的 计算 机 可 能 会 察觉 攻击 源 ,并 关闭 这 些 
连接 。 但 在 分 布 式 拒绝 服务 攻击 中 ,进攻 源 不 止 一 个 ,计算 机 应 关闭 除 它 信任 的 连接 之 外 
的 所 有 连接 ,但 这 在 公共 Internet 站 点 上 根本 无 法 实现 。 迄 今 为 止 ,对 分 布 式 拒绝 服务 攻 
击 还 没有 通用 的 防护 手段 。 只 有 不 断 监 视 网 络 连接 ,及 时 切换 备份 服务 器 和 路 由 器 。 有 
时 一 些 特殊 的 被 攻击 行为 利用 的 漏洞 可 以 修复 ,但 很 多 却 不 能 。 

上 面 列举 的 一 些 网 络 安全 问题 ,充分 说 明 与 计算 机 信息 系统 安全 相 比 ,在 分 布 网 络 环 
境 下 ,出 现 了 很 多 新 的 安全 问题 ,而 且 有 些 老 的 安全 问题 也 以 不 同 的 形式 出 现 。 根 据 这 些 
特点 ,给 出 以 下 的 网 络 安 全 定义 : 

网 络 安全 是 在 分 布 网 络 环境 中 ,对 信息 载体 (处 理 载 体 、 存 储 载 体 、 传 输 载体 ) 和 信息 
的 处 理 \ 传 输 、 存 储 \ 访 问 提供 安全 保护 ,以 防止 数据 、 信 息 内 容 或 能 力 被 非 授 权 使 用 、 臭 改 
或 拒绝 服务 。 

维护 信息 载体 的 安全 就 要 抵抗 对 网 络 和 系统 的 安全 威胁 。 这 些 安 全 威胁 包括 物理 侵犯 
(如 机 房 侵入 ,设备 偷窃 、 废 物 搜寻 电子 干扰 等 )、 系 统 漏洞 (如 旁 路 控制 ,程序 缺陷 等 )、 网 络 
入 侵 ( 如 窃听 截获 .堵塞 等 )` 恶 意 软件 (如 病毒 .里 虫 .特洛伊 木马 .信息 炸弹 等 )\ 存 储 损坏 
(如 老化 ,破损 等 ) 等 。 为 抵抗 对 网 络 和 系统 的 安全 威胁 ,通常 采取 的 安全 措施 包括 门 控 系 
统 、 防 火 墙 . 防 病毒 .人 侵 检测 .漏洞 扫描 ,存储 备份 .日 志 审 计 应 急 响 应 ` 灾 难 恢复 等 。 

维护 信息 自身 的 安全 就 要 抵抗 对 信息 的 安全 威胁 。 这 些 安全 威胁 包括 身份 假冒 . 非 
法 访问 \ 信 息 泄露 ,数据 受 损 、 事 后 否认 等 。 为 抵抗 对 信息 的 安全 威胁 ,通常 采取 的 安全 措 
施 包括 身份 鉴别 .访问 控制 .数据 加 密 、 数 据 验 证 、 数 字 签 名、 内 容 过 滤 、 日 志 审 计 、 应 急 响 


112 网 络 安全 的 属性 
网 络 安全 具有 三 个 基本 属性 。 


1 机 密 性 (保密 性 ) 

机 密 性 是 指 保证 信息 与 信息 系统 不 被 非 授权 者 所 获取 与 使 用 , 主要 防范 措施 是 密码 
技术 。 

在 网 络 系统 的 各 个 层次 上 有 不 同 的 机 密 性 及 相应 的 防范 措施 。 在 物理 层 , 要 保证 系 
统 实体 不 以 电磁 的 方式 (电磁 辐射 ,电磁 泄露 ) 向 外 泄露 信息 ,主要 的 防范 措施 是 电磁 屏蔽 
技术 .加密 干扰 技术 等 。 在 运行 层面 ,要 保障 系统 依据 授权 提供 服务 ,使 系统 任何 时 候 不 
被 非 授权 人 所 使 用 ,对 黑客 入侵 口令 攻击 .用户 权限 非法 提升 .资源 非法 使 用 等 采取 漏洞 
扫描 、 隔 离 . 防 火 墙 ,访问 控制 .人 侵 检测 、 审 计 取 证 等 防范 措施 ,这 类 属性 有 时 也 称 为 可 控 
人 性。 在 数据 处 理 、 传 输 层 面 , 要 保证 数据 在 传输 ,存储 过 程 中 不 被 非法 获取 、 解 析 , 主 要 防 

措施 是 数据 加 密 技术 。 


2 完整 性 
完整 性 是 指 信息 是 真实 可 信 的 ,其 发 布 者 不 被 冒充 .来 源 不 被 伪造 ,内 容 不 被 算 改 , 主 


萤 ] 音 


me 第] 章 3 引 论 mm 


要 防范 措施 是 校 验 与 认证 技术 。 

在 运行 层面 ,要 保证 数据 在 传输 、 存 储 等 过 程 中 不 被 非法 修改 ,防范 措施 是 对 数据 的 
截获 . 算 改 与 再 送 采取 完整 性 标识 的 生成 与 检验 技术 。 要 保证 数据 的 发 送 源头 不 被 伪造 ， 
对 冒充 信息 发 布 者 的 身份 .虚假 信息 发 布 来 源 采 取 身 份 认证 技术 、 路 由 认证 技术 ,这 类 属 
性 也 可 称 为 真实 性 。 


3 可 用 性 

可 用 性 是 指 保证 信息 与 信息 系统 可 被 授权 人 正常 使 用 ,主要 防范 措施 是 确保 信息 与 
信息 系统 处 于 一 个 可 靠 的 运行 状态 之 下 。 

在 物理 层 , 要 保证 信息 系统 在 恶劣 的 工作 环境 下 能 正常 运行 ,主要 防范 措施 是 对 电磁 
炸弹 、 信 号 插入 采取 抗 干扰 技术 ,加固 技术 等 。 在 运行 层面 ,要 保证 系统 时 刻 能 为 授权 人 
提供 服务 ,对 网 络 被 阻塞 、 系 统 资源 超 负 荷 消耗 \ 病 毒 、 黑 客 等 导致 系统 崩溃 或 宕 机 等 情况 
采取 过 载 保护 、 防 范 拒绝 服务 攻击 ,生存 技术 等 防范 措施 。 保 证 系统 的 可 用 性 ,使 得 发 布 
者 无 法 否认 所 发 布 的 信息 内 容 , 接 收 者 无 法 否认 所 接收 的 信息 内 容 , 对 数据 抵赖 采取 数字 
签名 防范 措施 ,这 类 属性 也 称 为 抗 否认 性 。 

从 上 面 的 分 析 可 以 看 出 ,维护 信息 载体 的 安全 与 维护 信息 自身 的 安全 两 个 方面 都 含 
有 机 密 性 、 完 整 性 、 可 用 性 这 些 重要 属性 。 
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国际 标准 化 组 织 在 开放 系统 互 连 标准 中 定义 了 7 个 层次 的 网 络 参考 模型 ,它们 分 别 
是 物理 层 .数据 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 . 表 示 层 和 应 用 层 。 不 同 的 网 络 层次 之 间 
的 功能 虽然 有 一 定 的 交叉 ,但 是 基本 上 是 不 同 的 。 例 如 ,数据 链 路 层 负责 建立 点 到 点 通 
信 , 网 络 层 负责 寻 径 ,传输 层 负责 建立 端 到 端的 通信 信道 。 从 安全 角度 来 看 ,各 层 能 提供 
一 定 的 安全 手段 ,针对 不 同 层 的 安全 措施 是 不 同 的 。 

要 对 网 络 安全 服务 所 属 的 协议 层次 进行 分 析 ,一 个 单独 的 层次 无 法 提供 全 部 的 网 络 
安全 服务 ,每 个 层次 都 能 做 出 自己 的 贡献 。 

在 物理 层 ,可 以 在 通信 线路 上 采用 某 些 技术 使 得 搭 线 偷 听 变 得 不 可 能 或 者 容易 被 检 
测 出 。 

在 数据 链 路 层 , 点 对 点 的 链 路 可 能 采用 通信 保密 机 进行 加 密 和 解密 , 当 信息 离开 一 台 
机 器 时 进行 加 密 , 而 进入 另外 一 台 机 器 时 进行 解密 。 所 有 的 细节 可 以 全 部 由 底层 硬件 实 
现 , 高 层 根本 无 法 察觉 。 但 是 这 种 方案 无 法 适应 需要 经 过 多 个 路 由 器 的 通信 信道 ,因为 在 
每 个 路 由 器 上 都 需要 进行 加 密 和 解密 ,在 这 些 路 由 器 上 会 出 现 潜 在 的 安全 隐患 ,在 开放 网 
络 环境 中 并 不 能 确定 每 个 路 由 器 都 是 安全 的 。 当 然 , 链 路 加 密 无 论 在 什么 时 候 都 是 很 容 
易 而 且 有 效 的 ,也 被 经 常 使 用 ,但 是 在 Internet 环境 中 并 不 完全 适用 。 

在 网 络 层 , 使 用 防火 墙 技术 处 理 信息 在 内 外 网 络 边界 的 流动 ,确定 来 自 哪 些 地 址 的 信 
息 可 能 或 者 禁止 访问 哪些 目的 地 址 的 主机 。 

在 传输 层 , 这 个 连接 可 能 被 端 到 端的 加 密 : 也 就 是 进程 到 进程 间 的 加 密 。 虽 然 这 些 解 
决 方案 都 有 一 定 的 作用 ,并 且 有 很 多 人 正在 试图 提高 这 些 技术 ,但 是 他 们 都 不 能 提出 一 种 
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充分 通用 的 办 法 来 解决 身份 认证 和 不 可 否认 问题 。 这 些 问题 必须 要 在 应 用 层 解决 。 

应 用 层 的 安全 主要 是 指针 对 用 户 身份 进行 认证 并 且 建 立 起 安全 的 通信 信道 。 有 很 多 
针对 具体 应 用 的 安全 方案 ,它们 能 够 有 效 地 解决 诸如 电子 邮件 .HTTP 等 特定 应 用 的 安 
全 问题 ,能 够 提供 包括 身份 认证 不 可 否认 数据 保密 、 数 据 完整 性 检查 乃至 访问 控制 等 功 
能 。 但 是 在 应 用 层 并 没有 一 个 统一 的 安全 方案 ,通用 安全 服务 GSS-API 的 出 现 试图 将 安 
全 服务 进行 抽象 ,为 上 层 应 用 提供 通用 接口 。 在 GSS-API 接口 下 可 以 采用 各 种 不 同 的 安 
全 机 制 来 实现 这 些 服务 。 

总 结 前 面 的 讨论 ,可 以 用 图 1-1 来 表示 网 络 安 全 层次 。 
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图 1-1 网 络 安全 层次 图 
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图 1-2 给 出 了 网 络 安全 模型 , 报 文 从 源 站 经 网 络 (Internet) 送 至 目的 站 , 源 站 和 目的 
站 是 处 理 的 两 个 主体 ,它们 必须 协同 处 理 这 个 交换 。 建 立 逻 辑 信息 通道 的 目的 是 确定 从 
源 站 经 Internet 到 目的 站 的 路 由 以 及 两 个 主体 协同 使 用 诸如 TCP/IP 的 通道 协议 。 

为 了 在 开放 网 络 环境 中 保护 信息 的 传输 ,需要 提供 安全 机 制 和 安全 服务 ,主要 包含 两 
个 部 分 : 一 部 分 是 对 发 送 的 信息 进行 与 安全 相关 的 转换 。 例 如 , 报 文 的 加 密 , 使 开放 网 络 
对 加 密 的 报 文 不 可 读 ; 又 如 ,附加 一 些 基 于 报 文 内 容 的 码 , 用 来 验证 发 送 者 的 身份 。 另 一 
部 分 是 由 两 个 主体 共享 的 秘密 信息 ,而 对 开放 网 络 是 保密 的 。 例 如 ,用 以 加 密 转 换 的 密 
钥 , 用 于 发 送 前 的 加 密 和 接收 前 的 解密 。 

为 了 完成 安全 的 处 理 , 常 常 需要 可 信 的 第 三 方 。 例 如 ,第 三 方 可 负责 为 两 个 主体 分 发 
秘密 信息 ,而 对 开放 网 络 是 保密 的 ;又 如 ,需要 第 三 方 来 仲裁 两 个 主体 在 报 文 传输 的 身份 
认证 的 争执 。 

归纳 起 来 ,在 设计 网 络 安全 系统 时 ,该 网 络 安全 模型 应 完成 4 个 基本 任务 : 

(1) 设计 一 个 算法 以 实现 和 安全 有 关 的 转换 。 

(2) 产生 一 个 秘密 信息 用 于 设计 的 算法 。 


可 信 第 三 方 (仲裁 者 ， 


a 秘密 信息 分 发 者 ) DR 


攻击 对 手 
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(3) 开发 一 个 分 发 和 共享 秘密 信息 的 方法 。 
(4) 确定 两 个 主体 使 用 的 协议 ,用 于 使 用 秘密 算法 与 秘密 信息 以 得 到 特定 的 安全 


服务 。 


图 1-2 的 网 络 安全 模型 虽 是 一 个 通用 的 模型 ,但 它 并 不 能 涵盖 所 有 情况 。 图 1-3 给 
出 了 一 个 网 络 访问 安全 模型 ,该 模型 考虑 了 黑客 攻击 \ 病 毒 与 蠕虫 等 的 非 授 权 访问 。 黑 客 
攻击 可 以 形成 两 类 威胁 : 一 类 是 信息 访问 威胁 , 即 非 授 权 用 户 截获 或 修改 数据 ; 另 一 类 是 
服务 威胁 , 即 服务 流 激增 以 禁止 合法 用 户 使 用 。 病 毒 和 蠕虫 是 软件 攻击 的 两 个 实例 ,这 类 
攻击 通常 是 通过 移动 存储 介质 引入 系统 ,并 隐藏 在 有 用 软件 中 ;也 可 通过 网 络 接 人 系统 。 
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图 1-3 网 络 访问 安全 模型 


在 图 1-3 中 ,对 非 授权 访问 的 安全 机 制 可 分 为 两 类 : 第 一 类 是 网 闸 功能 ,包括 基于 口 
令 的 登录 过 程 以 拒绝 所 有 非 授 权 访问 以 及 屏蔽 逻辑 以 检测 .拒绝 病毒 .蠕虫 和 其 他 类 似 攻 
击 ;第 二 类 是 内 部 的 安全 控制 ,一 旦 非 授权 用 户 或 软件 攻击 得 到 访问 权 , 第 二 道 防线 将 对 
其 进行 防御 ,包括 各 种 内 部 控制 的 监控 和 分 析 , 以 检测 入 侵 者 。 
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人 安全 的 历史 回顾 


随 着 社会 和 技术 的 进步 ,信息 安全 也 有 一 个 发 展 的 过 程 ,了 解 信息 安全 的 发 展 历史 ， 
可 使 人 们 更 全 面 地 解决 当前 遇 到 的 各 种 信息 安全 问题 。 粗 略 地 ,可 把 信息 安全 分 成 3 个 
阶段 , 即 通 信安 全 (comsec) .计算 机 安全 (compusec) 和 网 络 安全 (netsec)。 
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早期 ,所 有 的 资产 都 是 物理 的 ,重要 的 信息 也 是 物理 的 ,如 古代 刻 在 石头 上 ,到 后 来 写 
在 纸 上 。 为 了 保护 这 些 资产 ,只 需要 用 墙 、 护 城 河 . 警 卫 等 物理 安全 措施 。 信 息 传 递 通常 
由 信使 完成 ,需要 时 可 带 有 警卫 。 除 非 用 物理 的 掠夺 ,否则 就 无 法 得 到 信息 。 

但 是 ,物理 安全 存在 缺陷 ,如 果 报 文 在 传递 中 被 截获 , 则 报 文 的 信息 就 会 被 敌人 知悉 。 
因此 就 产生 了 通信 安全 的 问题 。 早 在 公元 前 600 年 Julius Caesar 生成 了 Caesar 密码 ,以 
使 报 文 即 使 被 截获 也 无 法 读 出 。 

这 个 概念 一 直 延 续 到 第 二 次 世界 大 战 ,德国 人 使 用 一 种 称 为 Enigma 的 机 器 来 加 密 
报 文 ,用 于 军队 ,当时 他 们 认为 Enigma 是 不 可 破译 的 。 确 实 是 这 样 ,如 果 使 用 恰当 ,要 破 
译 它 非常 困难 。 但 经 过 一 段 时 间 发 现 ,由 于 某 些 操 作 员 的 使 用 差错 ,Enigma 被 破译 了 。 

军事 通信 也 使 用 编码 技术 ,将 每 个 字 编码 后 放 入 报 文 传输 。 在 战争 期 间 , 日 本 人 曾 用 
编码 后 的 字 通 信 , 即 使 美国 人 截获 了 这 些 编码 也 难以 识别 该 报 文 。 在 准备 Midway 之 战 
时 ,日 本 人 曾 传送 编码 后 的 报 文 ,使 日 美 之 间 在 编码 和 破译 方面 展开 了 一 场 有 关 通 信安 全 
的 对 抗 。 

为 了 防止 敌人 窃听 语音 报 文 ,美国 军队 曾 使 用 一 种 Navaho 码 的 步 话机 ,Navaho 用 
本 土语 言传 送 报 文 ,敌人 即使 收听 到 无 线 电 通信 ,也 无 法 懂得 报 文 的 意思 。 

第 二 次 世界 大 战 后 ,苏联 间谍 曾经 使 用 一 次 填充 来 保护 传递 的 信息 。 一 次 填充 的 方 
法 是 在 每 一 页 上 用 带 有 随机 数 的 文字 填充 ,每 一 页 只 用 一 个 报 文 。 这 个 加 密 方案 如 果 使 
用 正确 则 难以 破译 。 但 是 由 于 他 们 的 使 用 方法 不 正确 (重用 一 次 填充 ) ,结果 某 些 报 文 被 
破译 出 来 。 

从 上 面 这 些 事例 可 知 ,通信 安全 的 主要 目的 是 解决 数据 传输 的 安全 问题 ,主要 的 措施 
是 密码 技术 。 

除非 不 正确 地 使 用 密码 系统 ,一 般 来 说 ,好 的 密码 难以 破译 。 因 此 人 们 企图 寻找 别 的 
方法 来 截获 加 密 传输 的 信息 。 在 20 世纪 50 年 代 发 现 了 寻找 在 电话 线 上 的 信号 来 达到 获 
取 报 文 的 目的 。 如 图 1-4 所 示 。 所 有 的 电子 系统 都 会 释放 电子 辐射 ,包括 电 传 机 和 正在 
使 用 发 送 加 密 报 文 的 密码 机 。 密 码 机 将 报 文 加 密 , 并 且 通 过 电话 线 发 送出 去 。 可 是 发 现 
代表 原始 信号 的 电信 号 也 能 在 电话 线 上 发 现 ,这 意味 着 可 用 某 种 好 的 设备 来 恢复 原始 信 
号 。 这 个 问题 导致 美国 开发 一 个 称 为 TEMPEST 的 计划 , 它 制定 了 用 于 十 分 敏感 环境 的 
计算 机 系统 电子 辐射 标准 。 其 目的 是 降低 辐射 以 免 信 号 被 截获 。 
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图 1-4 旁 路 密码 的 电子 信号 
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随 着 计算 机 技术 及 其 应 用 的 发 展 ,各 个 单位 的 大 部 分 信息 资产 以 电子 形式 移植 到 计 
算 机 上 。 计 算 机 的 使 用 越 来 越 方便 ,更 多 的 人 用 交互 会 话 的 方式 访问 信息 。 计 算 机 系统 
上 的 信息 对 任何 访问 系统 的 人 都 是 可 访问 的 。 

在 20 世纪 70 年代,David Bell 和 Leonard La Padula 开发 了 一 个 安全 计算 机 的 操作 
模型 。 该 模型 是 基于 政府 概念 的 各 种 级 别 分 类 信息 (一 般 、 秘 密 、 机 密 、 绝 密 ) 和 各 种 许可 
级 别 。 如 果 主 体 的 许可 级 别 高 于 文件 (客体 ) 的 分 类 级 别 , 则 主体 能 访问 客体 。 如 果 主 体 
的 许可 级 别 低 于 文件 (客体 ) 的 分 类 级 别 , 则 主体 不 能 访问 客体 。 

这 个 模型 的 概念 进一步 发 展 ,于 1983 年 导出 了 美国 国防 部 标准 5200. 28 一 一 可 信 计 
算 机 系统 评估 准则 (Trusted Computer System Evaluation Criteria，TCSEC) , 即 橘 皮 书 。 
TCSEC 共 分 为 如 下 4 类 7 级 : 

(1) DD 级 ,安全 保护 欠缺 级 。 

(2) C1 级 ,自主 安全 保护 级 。 

(3) C2 级 , 受 控 存 取保 护 级 。 

(4) Bl 级 ,标记 安全 保护 级 。 

(5) B2 级 ,结构 化 保护 级 。 

(6) B3 级 ,安全 域 保护 级 。 

(7) Al 级 ,验证 设计 级 。 

橘 皮 书 对 每 一 级 都 定义 了 功能 要 求 和 保证 要 求 ,也 就 是 说 要 符合 某 一 安全 级 要 求 , 必 
须 既 满足 功能 要 求 , 又 满足 保证 要 求 。 为 了 使 计算 机 系统 达到 相应 的 安全 要 求 ,计算 机 厂 
商 要 花费 很 长 时 间 和 很 多 资金 。 有 时 当 某 产品 通过 级 别论 证 时 ,该 产品 已 经 过 时 了 。 计 
算 机 技术 发 展 得 如 此 之 迅速 , 当 老 的 系统 取得 安全 认证 之 前 新 版 的 操作 系统 和 硬件 已 经 
出 现 。 

欧洲 四 国 (荷兰 法国 .英国 、 德 国 ) 在 吸收 了 TCSEC 的 成 功 经 验 基础 上 ,于 1989 年 
联合 提出 了 信息 技术 安全 评估 准则 (Information Technology Security Evaluation 

和 
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Criteria,ITSEC) ,俗称 白皮书 ,其 中 首次 提出 了 信息 安全 的 机 密 性 、 完 整 性 .可 用 性 的 概 
念 ,把 可 信 计 算 机 的 概念 提高 到 可 信 信 息 技术 的 高 度 。 

之 后 ,由 美国 国家 标准 技术 研究 所 (NIST) 、 国 家 安全 局 (NSA) 、 欧 洲 四 国 以 及 加 拿 大 
6 国 7 方 联合 提出 了 通用 安全 评估 准则 (Command Criteria for IT Security Evaluation, CC)， 
并 于 1991 年 宣布 ,1995 年 发 布 正 式 文件 。 它 的 基础 是 欧洲 的 白皮书 ITSEC、 美 国 的 ( 包 
括 橘 皮 书 TCSEC 在 内 的 ) 新 的 联邦 评估 准则 、 加 拿 大 的 CTCPEC 以 及 国际 标准 化 组 织 
的 ISO/SCITWGS 的 安全 评估 标准 。 

我 国 国家 质量 技术 监督 局 也 于 1999 年 发 布 了 计算 机 信息 系统 安全 保护 等 级 划分 准 
则 (Classified Criteria for Security Protection of Computer Information System) 的 国家 标 
准 ,序号 为 GB 17859 一 1999, 评 估 准 则 的 制定 为 我 们 评估 、 开 发 .研究 计算 机 系统 的 安全 
提供 了 指导 准则 。 

计算 机 安全 的 主要 目的 是 解决 计算 机 信息 载体 及 其 运行 的 安全 问题 ,主要 措施 是 根 
据 主 ,客体 的 安全 级 别 , 正 确实 施主 体 对 客体 的 访问 控制 。 
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当 计 算 机 联 成 网 络 以 后 ,新 的 安全 问题 出 现 了 , 老 的 安全 问题 也 以 不 同 的 形式 出 现 。 
例如 ,各 种 局 域 网 , 城 域 网 的 安全 不 同 于 以 往 的 远 距 离 点 到 点 的 通信 安全 ;又 如 ,高 速 网 络 
以 及 由 很 多 连接 器 连 到 一 个 公共 的 通信 介质 , 原 有 的 专用 密码 机 已 经 完全 不 能 解决 问题 ; 
再 如 ,有 很 多 用 户 从 不 同 的 系统 经 过 网 络 访问 ,而 没有 单个 计算 机 的 集中 控制 。 

随 着 Internet 的 发 展 及 其 普及 应 用 ,如 何 解 决 在 开放 网 络 环境 下 的 安全 问题 更 成 为 
迫切 需要 解决 的 问题 。 如 上 面 所 述 的 IP 安全 .DNS 安全 ,拒绝 服务 与 分 布 拒 绝 服务 攻 

橘 皮 书 并 不 解决 联网 计算 机 的 问题 ,事实 上 ,网 络 的 访问 在 橘 皮 书 的 认证 中 是 无 效 
的 。 为 此 ,美国 国防 部 于 1987 年 制定 了 TCSEC 的 可 信 网 络 解释 TNI, 又 称 红 皮 书 。 除 
了 满足 橘 皮 书 的 要 求 外 ,红皮书 还 企图 解决 计算 机 的 联网 环境 的 安全 问题 。 红 皮 书 主要 
说 明 联 网 环境 的 安全 功能 要 求 , 较 少 阐明 保证 要 求 。 

网 络 安全 的 主要 目的 是 解决 在 分 布 网 络 环境 中 对 信息 载体 及 其 运行 提供 的 安全 保护 
问题 ,主要 措施 是 提供 完整 的 信息 安全 保障 体系 ,包括 防护 .检测 .响应 .恢复 。 
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网 络 安全 ,尤其 是 Internet 安全 正面 临 着 严重 的 挑战 ,主要 是 : 
。 Internet 规模 的 扩大 和 关键 应 用 的 激增 ; 

。 网 络 安全 攻击 的 持续 增加 、 安 全 漏洞 的 增长 ; 

。 网 络 安全 的 对 策 (技术 、 人 才 立法) 急需 开发 。 


131 Internet 规模 及 应 用 激增 
Internet 是 一 个 全 球 的 计算 机 互联 网 ,在 发 展 初期 规模 不 大 ,主要 应 用 于 高 等 学 校 和 
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科研 机 构 ,并 假定 它 的 用 户 能 互相 认识 和 信任 。 然 而 , 随 着 Internet 的 发 展 和 流行 ,用 户 
数量 不 断 增长 ,网 络 应 用 日 益 普 及 ,黑客 攻击 的 激增 ,使 得 这 种 信任 模式 恶化 。 

20 世纪 90 年 代 开始 ,Internet 的 应 用 扩展 了 新 的 领域 ,以 电子 商务 为 代表 的 应 用 , 创 
建 了 一 个 开展 业务 的 重要 渠道 ,为 了 及 时 和 安全 地 交付 这 些 电子 商务 系统 ,对 网 络 安全 提 
出 了 更 高 的 要 求 。 还 有 像 电子 政务 这 类 关键 应 用 也 都 必须 有 安全 保证 。Internet 在 初期 
完全 开放 的 设计 特性 而 没有 考虑 安全 的 情况 已 不 适应 当代 的 要 求 。 

1999 年 采用 的 802. 1 无 线 局 域 网 协议 使 移动 计算 产业 发 生 了 革命 ,但 同时 也 增加 了 
不 安全 的 风险 。 一 方面 运行 环境 的 保护 必须 延伸 到 接 到 无 线 网 上 的 计算 机 ; 另 一 方面 
802. 11 协议 的 安全 特性 很 弱 。 

表 1-1 列 出 了 互联 网 和 无 线 互联 网 用 户 数量 与 分 布 。 


表 1-1 互联 网 和 无 线 互联 网 用 户 数量 与 分 布 


地 区 年 份 2001 2004 2007 
美国 互联 网 用 户 ( 百 万 ) 149 193 236 
美国 无 线 互 联网 用 户 所 占 比 例 4.5% 27.9% 46.3% 
全 球 互联 网 用 户 ( 百 万 ) 533 945 1460 
全 球 无 线 互联 网 用 户 所 占 比 例 16.0% 41.5% 56. 8% 
亚太 互联 网 用 户 ( 百 万 ) 115 357 612 
亚太 无 线 互联 网 用 户 所 占 比例 34.8% 50.9% 60. 4% 
西欧 互联 网 用 户 ( 百 万 ) 126 208 290 
西欧 无 线 互联 网 用 户 所 占 比 例 13.9% 49. 6% 67.0% 


132 网 络 安全 攻击 持续 增加 


自 1988 年 莫 里 斯 蠕虫 发 作 , 使 Internet 上 10% 的 计算 机 宕 机 ,之 后 重大 网 络 安全 事 
件 不 断 发 生 ,这 些 攻击 每 年 导致 上 百 亿 美元 的 损失 。 表 1-2 列 出 了 历年 重大 网 络 安全 事 
件 。 图 1-5 列 出 了 更 多 的 网 络 安全 事件 ,包括 重大 的 和 影响 相对 较 弱 的 。 


表 1-2 重大 网 络 安全 事件 


名 称 日 期 影 响 
英里 斯 (Morris) 蠕 虫 1988 年 使 与 因特网 连接 的 10% 的 计算 机 宕 机 
梅 丽 莎 CMelissa) 1999 年 5 月 在 一 周 内 感染 100 000 台 计 算 机 ,15 亿美 元 经 济 
影响 
Explorer 病毒 1999 年 6 月 11 亿美 元 经 济 影响 
爱 虫 (I Love You) 病 毒 2000 年 5 月 87. 5 亿美 元 经 济 影响 
Cam 先生 (Sircam) 病 毒 2001 年 7 月 230 万 台 计 算 机 被 感染 ,12.5 亿美 元 经 济 影响 
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续 表 
名 称 日 期 影 响 
红色 代码 (Code Red) 蠕 虫 2001 年 7 月 在 不 到 14 个 小 时 内 ,359 000 台 计 算 机 被 感染 
尼 姆 达 (Nimda) 蠕 虫 2001 年 9 月 高 峰 时 160 000 台 计算 机 被 感染 15 亿美 元 经 济 影响 
求职 信 (Klez) 2002 年 7.5 亿美 元 经 济 影响 
顽皮 熊 (BugBear) 2002 年 5 亿美 元 经 济 影响 
Badtrands 2002 年 4 亿美 元 经 济 影响 


仅仅 10 分 钟 内 ,就 感染 了 90% 的 具有 相应 弱点 的 主 


蓝宝石/ 是 贝 王 (Sapphire/ | 2003 年 1 月 | 机, 高峰 时 有 75 000 台 计 算 机 被 感染 ,15 亿美 元 经 


Slammer) 里 虫 济 影响 

冲击 波 (Blaster) 2003 年 7.5 亿美 元 经 济 影响 
冲击 波 杀 手 (Nachi) 2003 年 5 亿美 元 经 济 影响 
大 无 级 (SoBig. F) 2003 年 25 亿美 元 经 济 影响 


到 目前 为 止 传播 最 快 的 邮件 蠕虫 ,每 小 时 有 100 000 


翡 惨 命运 (MyDoom) 晤 虫 。 | 2004 年 1 月 | 个 蠕虫 被 拦截 ,超过 40 亿美 元 的 经 济 影响 


机 智 (Witty) 肾 虫 2004 年 3 月 第 一 个 携带 破坏 性 网 络 数据 内 容 并 广泛 传播 的 蠕虫 
震荡 波 (Sasser) 2004 年 5 月 破坏 超过 冲击 波 
Zobot 蠕虫 2005 年 8 月 
BadTrans 
Denial of (OD) Blaster 
Service Denial of Service| 8/13/03 
3/20/00 Sircam Santy 
ee Ki ET 
(CNMOD Bug Bear VanaK So Big3 Nyxem 
Bubbleboy | i Big 1 Sober 
TT | | T | T T T I | 
Jan-99 。 Jul-99 Jan-00 | Jol-00 Jan0T ulL0l-| Jan-02_ NIul-02 Jan-03—Iul-03 Jan-04| | Jul-04 Jan-05 Jul-05 ||Jan-06 
Melissa MyDoom | 
(3/26/99) Love Leffer Ee 2) (1/27/04) 人 i 
(5/4/00) Bad Trans(B) 
Bug Bear(B) 
CodeRed Rr Slammer Witty Worm Sammy 
imk (1/26/03) ig 
(13/01) 1 SoBig2 


图 1-5 网 络 安全 事件 


据 统计 ,Internet 每 天 受到 的 攻击 数 达 4 967 541 次 ,平均 每 小 时 206 981 次 攻击 或 每 
分 钟 3450 次 攻击 。 图 1-6 显示 恶意 代码 攻击 在 世界 范围 造成 的 损失 。 

有 三 个 重要 的 因素 加 剧 了 安全 事件 数量 的 增加 : 不 断 增加 的 系统 漏洞 数量 、 在 应 付 
系统 漏洞 的 过 程 中 需要 大 量 人 工 及 攻击 本 身 的 复杂 性 。 

漏洞 是 指 一 个 系统 中 可 以 被 黑客 用 来 攻击 或 危害 系统 的 突破 口 或 弱点 。 针 对 这 些 系 
统 漏洞 ,软件 行业 的 解决 方案 是 以 软件 补丁 的 形式 提供 修复 方式 ,用 户 必 须 使 用 它 来 修补 
这 些 后 门 。 在 IT 环境 中 测试 并 应 用 这 些 补丁 的 过 程 需要 繁重 的 劳动 ,通常 寻找 并 修补 
最 高 级 别 的 漏洞 是 十 分 困难 的 ,而 且 还 会 不 断 涌现 新 的 漏洞 。 图 1-7 显示 安全 漏洞 数 历 
14 
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图 1-6 恶意 代码 在 世界 范围 造成 的 损失 
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图 1-7 安全 漏洞 数 的 增长 


在 过 去 几 年 中 ,安全 攻击 的 复杂 性 增加 了 很 多 。 早 期 的 病毒 只 会 使 个 人 生产 力 下 降 ， 
它们 的 影响 远 不 及 诸如 红色 代码 和 尼 姆 达 这 样 的 混合 威胁 。 混 合 威胁 使 用 组 合 的 攻击 方 
式 来 更 快 地 传播 ,并 且 造 成 比 单个 病毒 更 大 的 危害 。 以 红色 代码 为 例 , 它 曾 在 14 小 时 内 
感染 了 350 000 多 台 计算 机 。 在 2003 年 1 月 里 虫 王 袭击 了 Internet, 它 具有 比 红色 代码 
更 高 的 传染 率 ,在 被 释放 后 不 到 10 分 钟 内 ,就 感染 了 75 000 台 计算 机 。 

到 目前 为 止 , 传 播 最 快 的 群发 邮件 蠕虫 是 2004 年 1 月 爆发 的 “悲惨 命运 ”。 在 爆发 的 高 
峰 期 ,每 小 时 截获 的 蠕虫 样本 数 超过 100 000 个 。“ 翡 惨 命运 ”依靠 用 户 去 激活 并 开始 传播 。 
它 聪 明 地 伪装 成 一 个 没有 恶意 的 文本 附件 , 毫 无 戒备 心 的 用 户 打开 附件 时 就 启动 了 蠕虫。 
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这 些 迅 速 传播 的 威胁 使 得 人 为 的 快速 响应 并 阻止 危害 变 得 愈加 困难 。 从 世界 范围 内 
攻击 的 发 展 趋势 来 看 ,网 络 和 人 侵 活动 愈益 增加 ,并 超过 了 恶意 代码 感染 活动 的 次 数 ， 
图 1-8 显示 了 这 种 发 展 趋势 。 另 一 个 发 展 趋势 是 入侵 攻击 变 得 愈加 容易 ,攻击 技巧 不 断 
提高 ,要 求 攻 击 者 的 知识 反而 降低 了 。 图 1-9 显示 了 这 种 发 展 趋势 。 
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图 1-8 世界 范围 内 攻击 的 发 展 趋势 
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图 1-9 攻击 愈加 容易 


面 对 这 严峻 的 形势 ,网 络 安 全 对 策 (技术 、 人 才 、 立 法 ) 急 需 开 发 。 然 而 当前 信息 安全 
市 场 尚 不 成 熟 ,信息 安全 厂商 还 不 能 提供 成 熟 的 安全 解决 方案 。 信 息 安全 人 才 缺 乏 , 在 人 
才 方 面 最 大 的 挑战 可 能 就 是 如 何 寻 找 一 个 在 安全 领域 具有 广泛 背景 并 能 组 建 一 支 有 效 的 
信息 安全 团队 的 领军 人 物 。 信 息 安 全 事件 激增 及 其 严重 危害 ,以 及 对 Internet 越 来 越 多 
的 依赖 ,促使 世界 各 国政 府 开始 制定 特别 的 法 律 来 管理 和 规范 这 个 技术 环境 。 因 为 
Internet 是 全 球 化 运营 ,必须 遵守 许多 不 同 国家 的 法 律 法 规 , 理 解 这 些 可 能 要 面 对 的 法 律 
和 限制 是 很 重要 的 。 
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133 国内 互联 网 发 展 及 互联 网 安全 状况 


自 1994 年 我 国正 式 接 入 Internet 以 来 ,互联 网 的 规模 和 应 用 迅速 发 展 。2007 年 
7 月 中 国 互联 网 信息 中 心 (CNNIC) 发 布 的 第 20 次 中 国 互 联网 发 展 状 况 统计 报告 显示 ,我 
国 网 民 总 人 数 已 达到 1. 62 亿 , 普 及 率 为 12.3%, 上 网 计算 机 数 达 6710 万 。 截 至 2008 年 
6 月底, 我 国 网 民 数 达 到 了 2. 53 亿 , 首 次 大 幅度 超过 美国 , 跃 居 世界 第 一 位 。 然 而 ,目前 
中 国 互联 网 安全 状况 不 容 乐 观 ,各 种 网 络 安 全 事件 与 去 年 同期 相 比 有 明显 增加 。2007 年 
上 半年 国家 计算 机 网 络 应 急 技术 处 理 协调 中 心 CNCERT/CC 接收 的 网 络 仿 冒 事 件 和 网 
页 恶意 代码 事件 ,已 分 别 超出 上 一 年 全 年 总 数 的 14.6% 和 12. 5% ,被 植 和 木马 的 主机 IP 
比 上 一 年 全 年 增加 21 信 , 被 自 改 网 站 数量 比 去 年 同期 增加 4 倍 。 

攻击 者 攻击 目标 明确 ,针对 不 同 网 站 和 用 户 用 不 同 的 攻击 手段 。 对 政府 类 和 安全 管 
理 相关 的 网 站 主要 采用 自 改 网 页 的 攻击 形式 ;对 以 网 络 为 核心 业务 的 企业 ,采用 有 组 织 的 
分 布 式 拒绝 服务 (DDoS) 攻 击 等 手段 进行 勒索 ;对 个 人 用 户 是 通过 用 户 身份 窃取 等 手段 偷 
取 账 号 .密码 ,窃取 用 户 私 人 财产 ;对 金融 机 构 网 上 交易 用 网 络 钓鱼 进行 网 络 仿 骨 ,在线 资 
用 用 户 身份 和 密码 。 通 过 恶意 网 页 .电子 邮件 和 信息 系统 漏洞 等 方式 传播 恶意 代码 ,利用 
间谍 软件 和 木马 程序 窃取 用 户 的 私有 信息 ,严重 导致 财产 损失 。2007 年 上 半年 我 国内 地 
被 植 和 人 木马 的 主机 数量 大 幅 攀 升 。 

2007 年 上 半年 恶意 代码 的 目的 性 增强 。 僵 尸 网 络 发 展 迅速 ,逐渐 成 为 攻击 行为 的 基 
本 渠道 。 针 对 DNS 服务 器 和 域名 转发 服务 器 的 攻击 数量 有 明显 增多 的 趋势 。 新 型 网 络 
应 用 的 发 展 带 来 了 新 的 安全 问题 和 威胁 。 

近 半 年 ,各 种 网 络 安全 事件 数量 有 显著 增加 ,说 明 我 国 公共 互联 网 面临 着 更 加 严重 的 
安全 威胁 ,而 以 获 利 为 目的 攻击 事件 将 对 广大 用 户 造 成 更 加 直接 的 经 济 损失 。 


1 密码 学 


141 密码 学 的 基本 原理 


密码 学 是 以 研究 数据 保密 为 目的 ,对 存储 或 者 传输 的 信息 采取 秘密 的 交换 以 防止 第 
三 者 对 信息 的 窃取 的 技术 。 被 变换 的 信息 称 为 明文 (plaintext), 它 可 以 是 一 段 有 意义 的 
文字 或 者 数据 ;变换 过 后 的 形式 称 为 密 文 (ciphertext) , 密 文 应 该 是 一 串 杂 乱 排列 的 数据 ， 
从 字面 上 没有 任何 含义 。 从 明文 到 密 文 的 变换 过 程 称 为 加 密 (encryption) ,变换 本 身 是 
一 个 以 加 密 密 钥 上 为 参数 的 函数 , 记 作 Ei (P)。 密 文 经 过 通信 信道 的 传输 到 达 目 的 地 后 
需要 还 原 成 有 意义 的 明文 才能 被 通信 接收 方 理解 ,将 密 文 C 还 原 为 明文 P 的 变换 过 程 称 
为 解密 或 者 脱 密 (decryption) ,该 变换 是 以 解密 密 钥 上 为 参数 的 函数 , 记 作 De (C)。 密 码 
学 加 密 解 密 模型 如 图 1-10 所 示 。 

在 传统 密码 体制 中 加 密 和 解密 采用 的 是 同一 密 钥 , 即 二 & ,并 且 Dx (ECP)) 一 己 ， 
称 为 对 称 密 钥 密码 系统 (Symmetric Key Cryptography)。 现 代 密 码 体 制 中 加 密 和 解密 采 
用 不 同 的 密 钥 , 称 为 非 对 称 密 钥 密码 系统 (Asymmetric Key Cryptography) ,每 个 通信 方 

17 


第 1 篇 网 络 安全 基础 知识 ES 


| 
被 动 攻击 者 | 双击 省 主动 攻击 者 


监听 消息 截取 、 更 改 消息 
a 


明文 P_。| 加 密 函数 解密 函数 | 明文 ?= De 
Er(P) Dr(C) 
密 文 C=E(P) 人 


密 
加 密 密 钥 k 解密 密 钥 x 
图 1-10 密码 学 模型 


均 需 要 有 &' 两 个 密 钥 ,在 进行 保密 通信 时 通常 将 加 密 密 钥 上 公开 ( 称 为 公 钥 Public 
Key) ,而 保留 解密 密 钥 &( 称 为 私 钥 Private Key) .所 以 也 称 为 公共 密 钥 密码 系统 (Public 
Key Cryptography)。 传 统 密 码 系 统 中 最 常见 的 算法 有 DES IDEA 等 。DES (Data 
Encryption Standard, 数 据 加 密 标准 ) 算 法 是 由 IBM 开发 ,并 于 1997 年 被 美国 政府 采纳 
为 非 机 密 信 息 的 加 密 标 准 , 它 的 原始 形式 已 经 在 1995 年 被 攻破 ,但 是 修改 后 的 形式 仍然 
是 有 效 的 ;IDEA(International Data Encryption Algorithm, 国 际 数据 加 密 算法 ) 是 由 Lai 
和 Massey 提出 的 ,目前 还 没有 发 现 有 效 的 攻击 方法 。 

密码 学 研究 包含 两 部 分 内 容 : 一 是 加 密 算 法 的 设计 和 研究 ;一 是 密码 分 析 , 即 密码 破 
译 技术 。 在 密码 学 模型 中 ,假设 进行 密码 分 析 的 攻击 者 能 够 对 密码 通信 进行 攻击 ,能够 被 
动 地 监听 通信 信道 上 的 所 有 信息 , 称 为 被 动 攻击 ;他 还 能 够 对 通信 信道 上 传输 的 消息 进行 
截取 修改 甚至 主动 发 送信 息 , 称 为 主动 攻击 。 攻 击 者 与 报 文 接收 方 的 区 别 在 于 他 不 知道 
解密 密 钥 ,因此 无 法 轻易 将 密 文 解密 还 原 为 明文 。 

公共 密 钥 方案 较 对 称 密 钥 方 案 处 理 速度 慢 , 因 此 ,通常 把 公共 密 钥 与 对 称 密 钥 技 术 结 
合 起 来 实现 最 佳 性 能 , 即 用 公共 密 钥 技术 在 通信 双方 之 间 传 送 对 称 密 钥 ,而 用 对 称 密 钥 来 
对 实际 传输 的 数据 加 密 .解密 。 另 外, 公 钥 加 密 也 用 来 对 对 称 密 钥 进行 加 密 。 

在 现代 密码 学 研究 中 ,对 加 密 和 解密 算法 一 般 都 是 公开 的 ,对 于 攻击 者 来 说 ,只 要 知 
道 解密 密 钥 就 能 够 破译 密 文 , 因 此 , 密 钥 设 计 成 为 核心 , 密 钥 保护 也 成 为 防止 攻击 的 重点 。 
对 于 密 钥 分 析 来 说 ,对 密 钥 进行 穷 举 猜测 攻击 是 任何 密码 系统 都 无 法 避免 的 ,但 是 , 当 密 
钥 长 度 足 够 随机 时 ,应 使 穷 举 猜测 实际 上 变 得 不 可 能 。 例 如 , 密 钥 长 度 为 256 位 的 加 密 算 
法 , 密 钥 空间 为 2” ,对 应 为 1077 量 级 ,如果 一 台 计 算 机 每 秒 可 以 对 密 钥 空间 进行 一 亿 次 
搜索 ,那么 ,全 部 搜索 一 遍 的 事件 所 需 的 时 间 将 大 于 1062 年 。 如 果 密 钥 空间 小 或 者 分 布 
具有 一 定 可 预见 性 ,那么 ,攻击 者 就 可 能 利用 相关 知识 缩小 搜索 空间 ,从 而 破译 密 文 。 


142 对 称 密 钥 密码 技术 


对 称 密 钥 密码 技术 是 从 传统 的 简单 换 位 、 代 蔡 密 码 发 展 而 来 的 , 自 1977 年 美国 颁布 
DES 密码 算法 作为 美国 数据 加 密 标准 以 来 ,对 称 密 钥 密码 技术 得 到 了 迅猛 发 展 ,在 世界 
各 国 得 到 广泛 关注 和 使 用 。 对 称 密 钥 密码 技术 从 加 密 模 式 上 可 分 为 两 类 ， 

(1) 序列 密码 

序列 密码 一 直 是 作为 军事 和 外 交 场 合 使 用 的 主要 密码 技术 之 一 , 它 的 主要 原理 是 , 通 
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过 有 限 状 态 机 产生 性 能 优良 的 伪 随 机 序列 ,使 用 该 序列 加 密 信 息 流 , 逐 位 加 密 得 到 密 文 序 
列 , 所 以 ,序列 密码 算法 的 安全 强度 完全 取决 于 它 所 产生 的 伪 随 机 序列 的 好 坏 。 

(2) 分 组 密码 

分 组 密码 的 工作 方式 是 将 明文 分 成 固定 长 度 的 组 ( 块 )( 如 64 位 一 组 ) ,用 同一 密 钥 和 
算法 对 每 一 块 加 密 , 输 出 固定 长 度 的 密 文 。 例 如 ,DES 密码 算法 的 输入 为 64 位 明文 , 密 
钥 长 度 为 56 位 , 密 文 长 度 为 64 位 。 

设计 分 组 密码 算法 的 核心 技术 是 ,在 相信 复杂 函数 可 以 通过 简单 函数 迭代 若干 圈 得 
到 的 原则 下 ,利用 简单 圈 函 数 及 对 合 等 运算 ,充分 利用 非 线 性 运算 。 以 DES 算法 为 例 , 它 
采用 美国 国家 安全 局 精心 设计 的 8 个 S-Box 和 了 -置换 ,经 过 16 圈 迭 代 , 最 终 产 生 64 位 密 
文 , 每 轿 和 迭代 使 用 的 48 位 子 密 钥 是 由 原始 的 56 位 大 密 钥 产生 的 。 

DES 算法 加 密 时 把 明文 以 位 为 单位 分 成 块 ,而 后 密 钥 把 每 一 块 明文 转化 成 同样 64 
位 的 密 文 块 。DES 可 提供 7.2X1016 个 密 钥 ,用 每 微 秒 可 进行 一 次 DES 加 密 的 机 器 来 破 
译 密码 需 2000 年 。 采 用 DES 的 一 个 著名 的 网 络 安全 系统 是 Kerberos, 由 MIT 开发 ,是 
网 络 通信 中 身份 认证 的 工业 上 的 事实 标准 。 

因为 对 称 密码 系统 具有 加 解密 速度 快 、 安 全 强度 高 等 优点 ,在 军事 、 外 交 及 商业 应 用 
中 使 用 得 越 来 越 普 遍 ; 由 于 存在 密 钥 发 行 与 管理 方面 的 不 足 ,在 提供 数字 签名 、 身 份 验证 
等 方面 需要 与 公开 密 钥 密码 系统 共同 使 用 ,以 达到 更 好 的 安全 效果 。 


143 公 钥 密码 技术 


公 钥 技术 是 在 密码 体制 中 加 密 和 解密 采用 两 个 不 同 的 相关 的 密 钥 的 技术 ,又 称 不 对 
称 密 钥 技术 。 公 钥 系统 的 概念 是 Diffie 和 Hellman 在 1976 年 提出 的 ,目前 公 钥 算法 有 很 
多 种 ,共同 特点 是 每 个 通信 方 在 进行 保密 通信 时 有 两 个 相关 的 密 钥 ,一 个 公开 , 另 一 个 保 
密 。 公 和 钥 算 法 比 传统 密 钥 算法 计算 复杂 度 高 ,大 量 数据 加 密 时 传统 加 密 算法 的 速度 比 公 
钥 加 密 算 法 快 100 一 1000 倍 ,因此 , 公 钥 算法 常 被 用 来 对 少量 关键 数据 (例如 传统 加 密 算 
法 的 密 钥 ) 进 行 加 密 ,或 者 用 于 数字 签名 。 常 用 的 公 钥 算法 有 Rivest、Shamir 和 Adleman 
提出 的 并 以 他 们 的 名 字 首 字母 命名 的 RSA 算法 , 它 可 以 实现 加 密 和 数字 签名 功能 ;El 
Gamal 和 DSS 算法 实现 签名 但 是 没有 加 密 ;Diffie Hellman 算法 用 于 建立 共享 密 钥 ,没有 
签名 也 没有 加 密 ,一 般 与 传统 密码 算法 共同 使 用 。 这 些 算法 复杂 度 各 不 相同 ,提供 的 功能 
也 不 完全 一 样 。 
使 用 最 广 的 公 钥 加 密 算法 是 RSA。RSA 使 用 两 个 密 钥 ,一 个 为 公共 密 钥 ,一 个 为 专 
用 密 钥 。 如 其 中 一 个 加 密 , 则 可 用 另 一 个 解密 , 密 钥 长 度 从 40 位 到 2048 位 可 变 , 加 密 时 
也 把 明文 分 成 块 , 块 的 大 小 可 变 , 但 不 能 超过 密 钥 的 长 度 , RSA 算法 把 每 一 块 明 文 转化 为 
与 密 钥 长 度 相 同 的 密 文 块 。 密 钥 越 长 ,加 密 效果 越 好 ,但 加 密 、 解 密 的 开销 也 大 ,所 以 要 在 
安全 与 性 能 之 间 折 中 考虑 ,一 般 64 位 是 较 合 适 的 。RSA 的 一 个 比较 知名 的 应 用 是 安全 
套 接 字 层 SSL ,在 美国 和 加 拿 大 SSL 用 128 位 RSA 算法 。 
公共 密 钥 的 优点 在 于 ,也 许 你 并 不 认识 某 一 实体 ,但 只 要 你 的 服务 器 认为 该 实体 证 
书 权威 CA 是 可 靠 的 ,就 可 以 进行 安全 通信 ,而 这 正 是 电子 商务 这 样 的 业务 所 要 求 的 ， 
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例如 信用 卡 购物 。 服 务 器 方 对 自己 的 资源 可 根据 客户 CA 的 发 行 机 构 的 可 靠 程度 来 
授权 。 


1.5 ”本 章 小 结 


网 络 安全 是 在 分 布 网 络 环境 中 ,对 信息 载体 (处 理 载体 、 存 储 载体 ,传输 载体 ) 和 信息 
的 处 理 \ 传 输 , 存 储 、 访 问 提供 安全 保护 ,以 防止 数据 、 信 息 内 容 或 能 力 被 非 授 权 使 用 、 算 改 
或 拒绝 服务 。 

网 络 安全 的 基本 属性 是 机 密 性 、 完 整 性 、 可 用 性 。 机 密 性 是 指 保证 信息 与 信息 系统 不 
被 非 授 权 者 所 获取 与 使 用 ,主要 防范 措施 是 密码 技术 。 完 整 性 是 指 信息 是 真实 可 信和 的 ,其 
发 布 者 不 被 冒充 ,来 源 不 被 伪造 ,内 容 不 被 算 改 ,主要 防范 措施 是 校 验 与 认证 技术 。 可 用 
性 是 指 保证 信息 与 信息 系统 可 被 授权 人 正常 使 用 ,主要 防范 措施 是 确保 信息 与 信息 系统 
处 于 一 个 可 靠 的 运行 状态 之 下 。 

国际 标准 化 组 织 在 开放 系统 互 连 标准 中 定义 了 7 个 层次 的 参考 模型 ,不 同 的 网 络 层 
次 之 间 的 功能 基本 上 是 不 同 的 ,相应 的 不 同 层次 的 网 络 安全 服务 也 是 不 同 的 ,需要 分 层 进 
行 配置 。 包 括 物 理 层 的 安全 ,数据 链 路 层 的 加 密 保护 .网络 层 的 防火 墙 及 IP 加 密 、 传 输 层 
的 安全 套 接 字 以 及 在 应 用 层 针对 用 户 身 份 进行 认证 并 建立 起 安全 的 访问 通道 。 

网 络 安全 通用 模型 表示 了 在 开放 的 网 络 环境 中 ,保护 信息 的 传输 需要 提供 的 安全 机 
制 和 安全 服务 ,包括 实现 和 安全 有 关 的 转换 算法 ,用 于 该 算法 的 秘密 信息 的 产生 、 分 发 和 
共享 ,以 及 确定 两 个 主体 使 用 的 协议 ,以 得 到 特定 的 安全 服务 。 网 络 安全 访问 模型 则 考虑 
了 黑客 攻击 ,病毒 与 蠕虫 等 的 非 授 权 访 问 。 

网 络 安全 ,尤其 是 Internet 安全 正面 临 着 严重 的 挑战 ,主要 是 Internet 规模 的 扩大 
和 关键 应 用 的 激增 ,网 络 安全 攻击 的 持续 增加 、 安 全 漏洞 的 增长 ,以 及 网 络 安全 的 对 策 

密码 学 是 以 研究 数据 保密 为 目的 ,对 存储 或 传输 的 信息 采取 秘密 的 交换 以 防止 第 三 
者 对 信息 的 窃取 的 技术 。 在 传统 密码 体制 中 加 密 和 解密 采用 的 是 同一 密 钥 , 称 为 对 称 密 
钥 密 码 系统 ,又 称 私 钥 系 统 。 现 代 密 码 体制 中 加 密 和 解密 采用 不 同 的 密 钥 , 称 为 非 对 称 密 
钥 密码 系统 ,又 称 公 钥 系统 。 


习 题 


1. 计算 机 网 络 是 地 理 上 分 散 的 多 台 ( ) 遵 循 约定 的 通信 协议 ,通过 软 硬 件 互联 的 
系统 。 


A. 计算 机 B. 主 从 计算 机 C. 自主 计算 机 D. 数字 设备 
2. 网 络 安全 是 在 分 布 网 络 环境 中 对 ( ) 提 供 安 全 保护 。 
A. 信息 载体 B. 信息 的 处 理 、 传 输 


C. 信息 的 存储 ,访问 D. 上 面 3 项 都 是 
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3. 网 络 安全 的 基本 属性 是 ( )。 
A. 机 密 性 B. 可 用 性 C. 完整 性 D. 上 面 3 项 都 是 
4. 密码 学 的 目的 是 (” )。 
A. 研究 数据 加 密 B. 研究 数据 解密 。 C. 研究 数据 保密 。 ”D. 研究 信息 安全 
5. 假设 使 用 一 种 加 密 算 法 , 它 的 加 密 方法 很 简单 : 将 每 一 个 字母 加 5, 即 a 加 密 成 f， 
b 加 密 成 g。 这 种 算法 的 密 钥 就 是 5 ,那么 它 属于 ( ) 。 


A. 对 称 密码 技术 B. 分 组 密码 技术 
C. 公 钥 密码 技术 D. 单 向 函数 密码 技术 
6. 访问 控制 是 指 确定 (”) 以 及 实施 访问 权限 的 过 程 。 
A. 用 户 权限 B. 可 给 予 那些 主体 访问 权利 
C. 可 被 用 户 访 问 的 资源 D. 系统 是 否 遭 受 入侵 


7. 一 般 而 言 ,Internet 防火 墙 建立 在 一 个 网 络 的 ( )。 
A. 内 部 子 网 之 间 传 送信 息 的 中 枢 B. 每 个 子 网 的 内 部 
C. 内 部 网 络 与 外 部 网 络 的 交叉 点 D. 部 分 内 部 网 络 与 外 部 网 络 的 接合 处 
8. 可 信 计 算 机 系统 评估 准则 (Trusted Computer System Evaluation _ Criteria， 
TCSEC) 共 分 为 ( ) 大 类 ( ) 级 。 
A. 4 7 Bs 7 C. 4 5 D. 4 6 
9. 橘 皮 书 定义 了 4 个 安全 层次 ,从 D 层 (最 低 保护 层 ) 到 A 层 (验证 性 保护 层 ) ,其 中 
D 级 的 安全 保护 是 最 低 的 ,属于 D 级 的 系统 是 不 安全 的 ,以 下 操作 系统 中 属于 D 级 安全 
的 是 ( )。 
A. 运行 非 UNIX 的 Macintosh 机 B. 运行 Linux 的 PC 
C. UNIX 系统 D. XENIX 
10. 计算 机 病毒 是 计算 机 系统 中 一 类 隐藏 在 (“) 上 蓄意 破坏 的 捣乱 程序 。 
A. 内 存 B. 软盘 C. 存储 介质 D. 网 络 
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本 章 要 点 : 
。 资产 的 有 效 保护 ; 
。 各 种 攻击 的 类 型 ; 
。 什么 是 风险 ; 
。 如 何 识别 风险 ; 
。 如 何 测量 风险 。 
风险 分 析 是 对 需要 保护 的 资产 及 其 受到 的 潜在 威胁 进行 鉴别 的 过 程 。 而 风险 是 威胁 
和 漏洞 (脆弱 性 ?的 组 合 。 正 确 的 风险 分 析 是 保证 网 络 环境 安全 的 极其 重要 的 一 步 。 
风险 分 析 要 回答 以 下 一 些 问题 : 
， 哪 些 资产 需要 保护 ; 
。 从 哪些 源 来 保护 这 些 资产 ; 
。 谁 有 可 能 危及 你 的 网 络 ; 
。 威胁 如 何 侵犯 你 的 网 络 ; 
假如 资产 被 危及 ,什么 是 即时 的 损失 ; 
。 从 攻击 或 失效 到 恢复 正常 需要 多 少 花费 ; 
如 何 能 有 效 地 .节省 地 保护 这 些 资产 ; 
。 网 络 环境 需要 的 安全 级 别 是 否 由 主管 部 门 确定 。 
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任何 有 效 的 风险 分 析 始 于 需要 保护 的 资产 和 资源 的 鉴别 ,资产 的 类 型 一 般 可 分 成 以 
下 4 类 。 

(1) 物理 资源 

物理 资源 是 具有 物理 形态 的 资产 。 包 括 工 作 站 、 服 务 器 终端. 网络 设备 .外 围 设备 
等 ,基本 上 ,凡是 具有 物理 形态 的 计算 资源 都 是 物理 资源 。 

风险 分 析 的 最 终 目标 是 制定 一 个 有 效 的 .节省 的 计划 来 看 管 资 产 ,不 要 忽视 显而易见 
的 问题 和 解决 办 法 。 

(2) 知识 资源 

和 物理 资源 相 比 ,知识 资源 更 难 鉴别 ,因为 它 只 以 电子 的 形式 存在 。 知 识 资 源 可 以 是 
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任何 信息 的 形式 ,并 且 在 组 织 的 事务 处 理 中 起 一 定 的 作用 。 它 包括 软件 .财务 信息 ,数据 
库 记 录 以 及 计划 图 表 等 。 例 如 ,公司 通过 电子 邮件 交换 信息 ,这 些 电子 报 文 的 存储 应 看 成 
知识 资产 。 

(3) 时 间 资 源 

时 间 也 是 一 个 重要 的 资源 ,甚至 是 一 个 组 织 最 有 价值 的 资源 。 当 评估 时 间 损 失 对 一 
个 组 织 的 影响 时 ,应 考虑 由 于 时 间 损 失 引 起 的 全 部 后 果 。 

(4) 信誉 (感觉 ) 资 源 

在 2000 年 2 月 ,大 部 分 网 络 公司 诸如 Yahoo Amazon .eBay 和 Buy. com 等 在 受到 拒 
绝 服务 攻击 以 后 ,他 们 的 股票 价 狂 跌 。 虽 然 这 是 暂时 的 ,但 足以 说 明 消费 者 和 股票 持 有 者 
对 他 们 的 可 信 度 确实 存在 影响 , 且 可 测量 。 又 如 ,2000 年 10 月 围绕 Microsoft 系统 的 问 
题 公 开 暴露 ,公众 不 仅 对 公司 ,也 对 其 产品 的 可 信 度 产生 了 一 定 的 影响 。 
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潜在 的 网 络 攻击 可 来 自任 何 能 访问 网 络 的 源 ,这 些 源 之 间 有 很 大 差异 , 它 依 赖 于 一 个 
组 织 的 规模 以 及 提供 的 网 络 访问 的 类 型 。 当 作风 险 分 析 时 ,要 能 识别 所 有 的 攻击 源 。 这 
些 攻击 源 包括 内 部 系统 、 来 自 办 公 室 的 访问 、 通 过 广域网 联 到 经 营 伙伴 的 访问 、 通 过 
Internet 的 访问 ,以 及 通过 modem 池 的 访问 等 。 

在 分 析 潜 在 攻击 源 时 不 仅 要 评估 谁 可 能 攻击 网 络 ,还 要 寻找 什么 样 的 介质 可 用 来 对 
网 络 资源 的 访问 。 

潜在 的 攻击 来 自 多 方面 ,包括 组 织 内 部 的 员工 、 临 时 员工 和 顾问 、 竞 争 者 和 组 织 中 具 
有 不 同 观 点 和 目的 的 人 、 反 对 这 个 组 织 或 其 员工 的 人 。 根 据 这 个 组 织 的 情况 ,还 可 能 有 各 
种 不 同 的 攻击 源 。 重 要 的 是 要 决定 什么 样 的 威胁 能 实现 成 功 的 攻击 ,以 及 对 潜伏 的 攻击 
者 而 言 ,什么 样 的 攻击 是 值得 的 。 

在 识别 资源 以 及 潜在 的 攻击 源 后 ,可 评估 该 组 织 受 攻击 的 潜在 风险 级 别 。 一 个 网 络 
是 物理 隔离 的 网 ,还 是 有 很 多 入 口 ( 如 广域网 )、 有 modem 池 ,或 是 经 过 Internet 进入 的 
VPN? 所 有 这 些 连 接点 是 否 使 用 强 的 身份 鉴别 和 某 种 形式 的 防火 墙 设备 ,或 者 其 他 的 网 
络 保护 措施 ?攻击 者 能 否 发 现 某 一 个 暴露 的 访问 点 以 及 获得 访问 该 网 络 资源 ? 

对 攻击 可 能 性 的 看 法 在 很 大 程度 上 是 带 有 主观 性 的 ,同一 个 组 织 的 两 个 人 对 攻击 可 
能 性 的 观点 可 能 完全 不 同 。 因 此 要 听取 来 自 不 同 部 门 的 观点 ,其 至 聘请 在 决定 风险 评估 
方面 有 实践 经 验 的 顾问 。 因 为 对 攻击 可 能 性 的 分 析 越 清楚 , 越 能 更 有 效 地 保护 网 络 。 
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资产 一 旦 受到 威胁 和 破坏 ,就 会 带 来 两 类 损失 ,一 类 是 即时 的 损失 ,如 由 于 系统 被 破 
坏 ,员工 无 法 使 用 ,因而 降低 了 劳动 生产 率 ;又 如 ,ISP 的 在 线 服务 中 断 带 来 经 济 上 的 损 
失 。 另 一 类 是 长 期 的 恢复 所 需 花 费 ,也 就 是 从 攻击 或 失效 到 恢复 正常 需要 的 花费 ,例如 ， 
受到 拒绝 服务 攻击 ,在 一 定期 间 内 资源 无 法 访问 带 来 的 损失 ;又 如 ,为 了 修复 受 破坏 的 关 
键 文件 所 需 的 花费 等 。 
为 了 有 效 保护 资产 ,应 尽 可 能 降低 资产 受 危害 的 潜在 代价 。 另 外 ,由 于 采取 一 些 安全 
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措施 ,也 要 付出 安全 的 操作 代价 。 网 络 安全 最 终 是 一 个 折 中 的 方案 ,需要 对 危害 和 降低 危 
害 的 代价 进行 权衡 。 

在 评估 时 要 考虑 网 络 的 现 有 环境 ,以 及 近期 和 远 期 网 络 发 展 变化 的 趋势 。 选 用 先进 
的 安全 体系 结构 和 系统 安全 平台 可 减少 安全 操作 代价 ,获得 良好 的 安全 强度 。 

除 此 之 外 ,要 获得 安全 强度 和 安全 代价 的 折 中 ,需要 考虑 以 下 因素 : 

(1) 用 户 的 方便 程度 。 不 应 由 于 增加 安全 强度 给 用 户 带 来 很 多 麻烦 。 

(2) 管理 的 复杂 性 。 对 增加 安全 强度 的 网 络 系统 要 易于 配置 管理 。 

(3) 对 现 有 系统 的 影响 。 包 括 增加 的 性 能 开销 以 及 对 原 有 环境 的 改变 等 。 

(4) 对 不 同 平台 的 支持 。 网 络 安全 系统 应 能 适应 不 同 平台 的 异 构 环境 的 使 用 。 

图 2-1 所 示 为 安全 强度 和 安全 代价 的 折 中 ,其 中 图 2-1(a) 表 示 安 全 强度 和 安全 操 
作 代价 的 关系 。 图 2-1(b) 表 示 安 全 强度 和 侵入 系统 可 能 性 的 关系 。 图 2-1(c) 表 示 将 
图 2-1(a) 和 图 2-1(b) 合 在 一 起 ,其 相交 点 是 平衡 点 , 即 安全 强度 和 安全 代价 的 折 中 选择 。 
图 2-1(d) 表 示 由 于 入 侵 手段 增强 引起 的 变化 ,从 而 产生 新 的 平衡 点 。 


安全 代价 
侵入 可 能 性 


安全 强度 安全 强度 
(a) 安全 强度 和 安全 代价 的 关系 (b) 安全 强度 和 侵入 可 能 性 的 关系 


安全 强度 安全 强度 
(©) 安全 代价 和 侵入 可 能 性 的 折 中 (qd) 平衡 点 的 变化 


图 2-1 安全 强度 和 安全 代价 的 折 中 


为 了 有 效 保护 资产 ,需要 一 个 性 能 良好 的 安全 系统 结构 和 安全 系统 平台 ,可 以 小 的 安 
全 代价 换取 高 的 安全 强度 。 
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2.2 ”攻击 


221 攻击 的 类 型 


从 安全 属性 来 看 ,攻击 类 型 可 分 为 以 下 4 类 ,如 图 2-2 所 示 , 图 2-2(a) 是 从 源 站 到 目 
的 站 的 正常 信息 流 。 

(1) 阻 断 攻 击 

阻 断 攻击 使 系统 的 资产 被 破坏 ,无 法 提供 用 户 使 用 ,这 是 一 种 针对 可 用 性 的 攻击 ,如 
图 2-2(b) 所 示 。 例 如 ,破坏 硬盘 之 类 的 硬件 ,切断 通信 线路 ,使 文件 管理 系统 失效 等 。 

(2) 截取 攻击 

截取 攻击 可 使 非 授权 者 得 到 资产 的 访问 ,这 是 一 种 针对 机 密 性 的 攻击 ,如 图 2-2(Cc) 所 
示 。 非 授权 者 可 以 是 一 个 人 、 一 个 程序 或 一 台 计 算 机 ,例如 ,通过 窃听 获取 网 上 数据 及 非 
授权 的 复制 文件 和 程序 。 

(3) 算 改 攻击 

算 改 攻击 是 非 授 权 者 不 仅 访问 资产 ,而 且 能 修改 信息 ,这 是 一 种 针对 完整 性 的 攻击 ， 
如 图 2-2(d) 所 示 。 例 如 ,改变 数据 文件 的 值 ,修改 程序 及 在 网 上 正在 传送 的 报 文 内 容 。 

(4) 伪造 攻击 

伪造 攻击 是 非 授权 者 在 系统 中 插入 伪造 的 信息 ,这 是 一 种 针对 真实 性 的 攻击 ,如 
图 2-2(e) 所 示 。 例 如 ,在 网 上 插入 伪造 的 报 文 , 或 在 文件 中 加 入 一 些 记 录 。 


信息 源 信息 目的 地 
(a) 正常 
Wl 人- 
(b) 阻 断 (截取 
本山 广 
(d) 得 改 (© 伪造 


图 2-2 各 种 安全 威胁 
222 主动 攻击 和 被 动 攻 击 
从 攻击 方式 来 看 ,攻击 类 型 可 分 为 被 动 攻击 和 主动 攻击 ,如 图 2-3 所 示 。 
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被 动 攻击 主动 攻击 


报 文 内 容 。 通信 分 析 伪装 回答 ”修改 报 文 拒绝 服务 
的 泄露 


图 2-3 主动 和 被 动 安全 威胁 


1 被 动 攻击 

窃听 、 监 听 都 具有 被 动 攻击 的 本 性 ,攻击 者 的 目的 是 获取 正在 传输 的 信息 。 被 动 攻 击 
包括 传输 报 文 内 容 的 泄露 和 通信 流量 分 析 。 报 文 内 容 的 泄露 易于 理解 ,一 次 电话 通信 、 一 
份 电子 邮件 报 文 .正在 传送 的 文件 都 可 能 包含 敏感 信息 或 秘密 信息 。 为 此 要 防止 对 手 获 
悉 这 些 传输 的 内 容 。 

通信 流量 分 析 的 攻击 较 难 捉摸 。 假 如 有 一 个 方法 可 屏蔽 报 文 内 容 或 其 他 信息 通信 ， 
那么 即使 这 些 内 容 被 截获 ,也 无 法 从 这 些 报 文中 获得 信息 。 最 常用 的 屏 项 内 容 技术 是 加 
密 。 然 而 即使 用 加 密 保护 内 容 , 攻 击 者 仍 有 可 能 观察 到 这 些 传输 的 报 文 形式 。 攻 击 者 有 
可 能 确定 通信 主机 的 位 置 和 标识 ,也 可 能 观察 到 正在 交换 的 报 文 频 度 和 长 度 。 而 这 些 信 
息 对 猜测 正在 发 生 的 通信 特性 是 有 用 的 。 

对 被 动 攻击 的 检测 十 分 困难 ,因为 攻击 并 不 涉及 数据 的 任何 改变 。 然 而 阻止 这 些 攻 
击 的 成 功 是 可 行 的 ,因此 ,对 被 动 攻击 强调 的 是 阻止 而 不 是 检测 。 


2 主动 攻击 

主动 攻击 包含 对 数据 流 的 某 些 修改 ,或 者 生成 一 个 假 的 数据 流 。 它 可 分 成 4 类 ， 

(1) 伪装 

伪装 是 一 个 实体 假装 成 另 一 个 实体 。 伪 装 攻击 往往 连同 另 一 类 主动 攻击 一 起 进行 。 
例如 ,身份 鉴别 的 序列 被 捕获 ,并 在 有 效 的 身份 鉴别 发 生 时 作出 回答 ,有 可 能 使 具有 很 少 
特权 的 实体 得 到 额外 的 特权 ,这样 不 具有 这 些 特权 的 人 获得 了 这 些 特权 。 

(2) 回答 ( 重 放 ) 

回答 攻击 包含 数据 单元 的 被 动 捕获 , 随 之 再 重 传 这 些 数据 ,从 而 产生 一 个 非 授 权 的 
效果 。 

(3) 修改 报 文 

修改 报 文 攻击 意味 着 合法 报 文 的 某 些 部 分 已 被 修改 ,或 者 报 文 的 延迟 和 重新 排序 ,从 
而 产生 非 授 权 的 效果 。 

(4) 拒绝 服务 

拒绝 服务 攻击 是 阻止 或 禁止 通信 设施 的 正常 使 用 和 管理 。 这 种 攻击 可 能 针对 专门 的 
目标 (如 安全 审计 服务 ) ,抑制 所 有 报 文 直接 送 到 目的 站 ;也 可 能 破坏 整个 网 络 ,使 网 络 不 
可 用 或 网 络 超 负荷 ,从 而 降低 网 络 性 能 。 

主动 攻击 和 被 动 攻 击 具 有 相反 的 特性 。 被 动 攻击 难以 检测 出 来 ,然而 有 阻止 其 成 功 
的 方法 。 而 主动 攻击 难以 绝对 地 阻止 ,因为 要 做 到 这 些 , 就 要 对 所 有 通信 设施 .通路 在 任 
何 时 间 进 行 完 全 的 保护 。 因 此 ,对 主动 攻击 采取 检测 的 方法 ,并 从 破坏 中 恢复 。 因 为 制止 
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的 效应 也 可 能 对 防止 破坏 做 出 贡献 。 
223 访问 攻击 


访问 攻击 是 攻击 者 企图 获得 非 授 权 信息 ,这 种 攻击 可 能 发 生 在 信息 驻 留 在 计算 机 系 
统 中 或 在 网 络 上 传输 的 情况 下 ,如 图 2-4 所 示 。 这 类 攻击 是 针对 信息 机 密 性 的 攻击 。 


信息 在 Internet 


在 文件 服务 \ 或 电话 线 上 传输 
器 上 的 信息 = 和 
机 通信 塔 
在 本 地 硬 驱 城市 
动 上 的 信息 信息 从 传真 机 或 
i 传真 机 打印 机 输出 


器 
0 存储 在 媒体 上 的 信息 且 不 在 
办 公 室 或 不 在 现场 的 后 备 
在 办 公 室 的 © 
纸 面 信息 
图 2-4 访问 攻击 可 能 发 生 的 地 方 


常见 的 访问 攻击 有 3 种: 

(1) 窥探 

窥探 (snooping) 是 查 信息 文件 ,发现 某 些 对 攻击 者 感 兴趣 的 信息 。 攻 击 者 试图 打开 
计算 机 系统 的 文件 ,直到 找到 所 需 信 息 。 

(2) 窃听 

窃听 (eavesdropping) 是 偷 听 他 人 的 对 话 , 为 了 得 到 非 授权 的 信息 访问 ,攻击 者 必须 
将 自己 放 在 一 个 信息 通过 的 地 方 , 一 般 采 用 电子 的 窃听 方式 ,如 图 2-5 所 示 。 

(3) 截获 

截获 (interception) 不 同 于 窃听 , 它 是 一 种 主动 攻击 方式 。 攻 击 者 截获 信息 是 通过 将 
自己 插入 信息 通过 的 通路 , 且 在 信息 到 达 目 的 地 前 能 事先 捕获 这 些 信 息 。 攻 击 者 检查 截 
获 的 信息 ,并 决定 是 否 将 信息 送 往 目的 站 ,如 图 2-6 所 示 。 

电子 信息 可 存储 在 桌面 计算 机 、 服 务 器 、 笔 记 本 计算 机 、 软 盘 、U 盘 、CD-ROM 及 后 备 
磁带 中 。 如 没有 物理 安全 措施 ,这 些 介质 可 能 被 偷 走 , 攻 击 者 就 很 容易 得 到 所 要 的 信息 。 

如 果 攻 击 者 设法 取得 合法 访问 权 , 就 可 简单 地 打开 文件 系统 。 假 如 访问 控制 权限 设 
置 恰 当 , 系 统 就 可 对 非 授 权 者 拒绝 访问 。 正 确 的 许可 权 设置 可 阻止 大 部 分 不 经 心 的 窥视 。 
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从 桌面 机 到 主机 的 通信 ”主机 攻击 者 计算 机 
在 局 域 网 上 传输 
攻击 者 从 接 到 相同 局 域 网 
上 的 桌面 机 能 听 到 会 话 


桌面 计算 机 


图 2.5 窗 听 
攻击 者 系统 安放 在 通信 通路 并 捕获 通信 ， 
” “攻击 者 可 选择 让 通信 继续 或 不 通过 

本 7 

| 

1 

I 
从 桌面 机 到 主机 的 通信 
在 局 域 网 上 传输 
梨 面 计算 机 
图 2.6 截获 


然而 对 有 意 的 攻击 者 企图 偷 到 许可 权 , 并 阅读 文件 或 降低 对 文件 访问 的 控制 ,由 于 系统 有 
很 多 漏洞 ,使 得 攻击 者 的 这 些 行动 能 得 逮 。 
对 传输 中 的 信息 可 通过 窃听 获得 。 在 局 域 网 中 ,攻击 者 在 联 到 网 上 的 计算 机 系统 中 安 
装 一 个 信息 包 探 测 程序 (sniffer) ,来 捕获 在 网 上 的 所 有 通信 。 通 常 配置 成 能 捕获 ID 和 口令 。 
窃听 也 可 能 发 生 在 广域网 (如 租用 线 和 电话 线 ) 中 ,然而 这 类 窃听 需要 更 多 的 技术 和 
设备 。 通 常 在 设施 的 接线 架 上 采用 形 分 接头 来 穷 听信 息 。 它 不 仅 用 于 电缆 线 , 也 可 用 
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于 光纤 传输 线 , 但 需要 专门 的 设备 。 

使 用 截获 来 取得 所 需 信息 ,对 攻击 者 来 说 也 比较 困难 。 攻 击 者 必须 将 自己 的 系统 插 
和信 到 发 送 站 和 接收 站 之 间 。 在 Internet 上 ,可 通过 名 字 转 换 的 改变 来 达到 目的 ,即将 计算 
机 名 转换 成 一 个 错误 的 IP 地 址 ,如 图 2-7 所 示 。 这 样 信息 就 送 到 攻击 者 的 系统 ,而 不 是 
正确 的 目的 站 。 如 果 攻 击 者 正确 地 配置 其 系统 ,发 送 者 和 目的 站 可 能 永远 不 知道 他 是 在 
和 攻击 者 通信 。 


攻击 者 用 一 个 不 正确 的 名 
字 响 应 ， 因 而 给 用 户 提供 攻击 者 计算 机 
了 攻击 者 计算 机 的 地 址 


用 户 信息 送 至 攻击 者 计算 
机 ， 而 不 是 正确 的 服务 器 


用 户 计算 机 
用 户 在 Web 浏览 器 输入 服务 
器 的 URL， 试 图 访问 服务 器 服务 器 


图 2-7 使 用 错误 的 名 字 转 换 截 获 信息 


截获 还 可 对 已 经 进行 的 正常 会 话 接管 和 转移 。 这 类 攻击 发 生 在 交互 式 通信 中 ,如 
telnet。 这 时 ,攻击 者 必须 在 客户 机 或 服务 器 的 同一 网 段 。 攻 击 者 让 合法 用 户 开始 和 服务 
器 会 话 , 然 后 使 用 专门 的 软件 来 接管 这 个 会 话 。 这 类 攻击 使 攻击 者 能 在 服务 器 上 具有 同 
样 的 特权 。 


224 算 改 攻击 


自 改 攻击 是 攻击 者 企图 修改 信息 ,而 他 们 本 来 是 无 权 修改 的 。 这 种 攻击 可 能 发 生 在 
信息 驻 留 在 计算 机 系统 中 或 在 网 络 上 传输 的 情况 下 ,是 针对 信息 完整 性 的 攻击 。 

常见 的 算 改 攻击 有 3 种 : 

(1) 改变 

改变 已 有 的 信息 。 例 如 ,攻击 者 改变 已 存在 的 员工 工资 ,改变 以 后 的 信息 虽然 仍 存在 
于 该 组 织 , 但 已 经 是 不 正确 的 信息 。 这 种 改变 攻击 的 目标 通常 是 敏感 信息 或 公共 信息 。 

(2) 插入 

插入 信息 可 以 改变 历史 的 信息 。 例 如 ,攻击 者 在 银行 系统 中 加 一 个 事务 处 理 ,从 而 将 
客户 账户 的 资金 转 到 自己 账户 上 。 

(3) 删除 

删除 攻击 是 将 已 有 的 信息 去 除 ,可 能 是 将 历史 记录 的 信息 删除 。 例 如 ,攻击 者 将 一 个 
事务 处 理 记录 从 银行 结账 单 中 删除 ,从 而 造成 银行 资金 的 损失 。 
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修改 电子 信息 比 修改 纸 上 信 息 容易 得 多 。 假 如 攻击 者 已 经 访问 了 文件 ,可 以 几乎 不 
留 证 据 地 修改 。 假 如 攻击 者 没有 访问 文件 的 权限 , 则 攻击 者 首先 必须 提高 对 系统 的 访问 
权 , 或 者 移 去 文件 的 许可 权 。 在 访问 攻击 中 ,攻击 者 利用 系统 的 漏洞 获取 访问 权 , 然 后 再 
修改 文件 。 

攻击 者 要 改变 数据 库 文件 或 处 理 队列 更 难 一 些 。 在 某 些 情况 下 ,事务 处 理 也 编 成 序 
列 号 ,不 正确 地 移 走 或 加 一 个 序列 号 ,会 导致 系统 发 出 警报 。 只 有 对 整个 系统 进行 变更 ， 
才能 使 算 改 不 易 被 察觉 。 


225 拒绝 服务 攻击 


拒绝 服务 攻击 (Denial-of-Service, DoS) 是 拒绝 合法 用 户 使 用 系统 、 信 息 、 能 力 等 各 种 
资源 。 拒 绝 服务 攻击 一 般 不 允许 攻击 者 访问 或 修改 计算 机 系统 的 信息 。 拒 绝 服务 攻击 可 
分 成 以 下 4 种 : 

(1) 拒绝 访问 信息 

拒绝 访问 信息 使 信息 不 可 用 ,不 论 是 信息 被 破坏 或 者 将 信息 改变 成 不 可 使 用 状态 ,也 
可 能 信息 仍 存在 ,但 已 经 被 移 到 不 可 访问 的 位 置 。 

(2) 拒绝 访问 应 用 

拒绝 访问 应 用 的 目标 是 操纵 或 显示 信息 的 应 用 。 通 常 对 正在 运行 应 用 程序 的 计算 机 
系统 进行 攻击 ,这样 应 用 程序 不 可 用 ,以 致 不 能 执行 由 该 应 用 程序 完成 的 任务 。 

(3) 拒绝 访问 系统 

拒绝 访问 系统 通常 是 使 系统 宕 机 ,使 运行 在 该 计算 机 系统 上 的 所 有 应 用 无 法 运行 ,使 
存储 在 该 计算 机 系统 上 的 所 有 信息 不 可 用 。 

(4) 拒绝 访问 通信 

拒绝 访问 通信 和 是 针对 通信 的 一 种 攻击 ,已 有 很 多 年 历史 。 这 类 攻击 可 能 用 切断 通信 
电缆 .干扰 无 线 电 通信 以 及 用 过 量 的 通信 和 负载 来 淹没 网 络 。 拒 绝 访问 通信 的 目标 是 通信 
介质 本 身 , 从 而 阻止 用 户 通过 网 络 访问 系统 和 信息 。 

拒绝 服务 攻击 主要 是 针对 计算 机 和 网 络 系统 。 

很 多 方法 可 以 使 电子 形式 的 信息 遭受 拒绝 服务 攻击 。 在 拒绝 访问 信息 的 同时 ,信息 
有 可 能 被 删除 ,当然 这 类 攻击 需要 同时 将 后 备 信息 也 删除 。 也 有 可 能 通过 改变 文件 提供 
无 用 信息 ,例如 ,攻击 者 对 文件 加 密 并 毁 掉 密 钥 ,这样 任何 人 都 无 法 访问 这 些 信息 。 

带 有 信息 的 计算 机 也 可 能 被 偷 走 。 短 期 的 拒绝 服务 攻击 可 以 简单 地 将 系统 关 掉 , 导 
致 系统 本 身 拒绝 服务 。 拒 绝 服务 攻击 可 直接 针对 系统 ,使 计算 机 系统 破坏 。 

通过 一 些 漏洞 可 使 应 用 程序 不 可 用 。 这 类 漏洞 使 攻击 者 对 应 用 程序 发 送 一 些 事先 设 
定 的 命令 ,从 而 使 应 用 程序 无 法 正常 运行 。 应 用 程序 看 起 来 像 被 摧 垮 一 样 , 即 使 重新 启 
动 , 仍 无 法 运行 。 

最 容易 使 通信 设施 不 可 用 的 方法 是 切断 电缆 。 但 这 类 攻击 需要 到 现场 物理 访问 网 络 
电缆 。 另 一 种 拒绝 服务 攻击 的 方法 是 对 一 个 场地 发 送 大 量 的 通信 量 , 阻 止 合法 用 户 使 用 。 


226 否认 攻击 
否认 攻击 是 针对 信息 的 可 审 性 进行 的 。 否 认 攻 击 企图 给 出 假 的 信息 或 者 否认 已 经 发 
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生 的 现实 事件 或 事务 处 理 。 

否认 攻击 包括 两 类 : 

(1) 假冒 

假冒 是 攻击 者 企图 装扮 或 假冒 别人 和 别 的 系统 。 这 种 攻击 可 能 发 生 在 个 人 通信 、 事 
务 处 理 或 系统 对 系统 的 通信 中 。 

(2) 否认 

否认 一 个 事件 是 简单 地 抵赖 曾经 登录 和 处 理 的 事件 。 例 如 ,一 个 人 用 信用 卡 在 商店 
里 购物 ,然而 当 账 单 送 到 时 ,告诉 信用 卡 公司 ,他 从 未 到 该 商店 购物 。 

电子 信息 比 纸 上 信 息 更 易 实现 否认 攻击 。 电 子 文本 能 生成 和 发 送 给 别人 ,而 几乎 没 
有 发 送 者 身份 的 证 据 。 例 如 ,发 送 者 发 送 电 子 邮件 ,可 以 任意 改变 其 发 送 者 地 址 ,电子 邮 
件 系统 几乎 不 能 验证 发 送 者 的 身份 。 

同样 地 ,网 上 计算 机 系统 发 送信 息 时 ,可 用 任何 IP 地 址 ,这 样 的 计算 机 系统 就 可 伪装 
成 另 一 个 系统 。 


23 ”风险 管理 


从 本 质 上 讲 , 安 全 就 是 风险 管理 。 一 个 组 织 者 如 果 不 了 解 其 信息 资产 的 安全 风险 ,很 
多 资源 就 会 被 错误 地 使 用 。 风 险 管 理 提供 信息 资产 评估 的 基础 。 通 过 风险 识别 ,可 以 知 
道 一 些 特殊 类 型 的 资产 价值 以 及 包含 这 些 信 息 的 系统 的 价值 。 


231 风险 的 概念 


风险 是 构成 安全 基础 的 基本 观念 。 风 险 是 丢失 需要 保护 的 资产 的 可 能 性 。 如 果 没 有 
风险 ,就 不 需要 安全 了 。 风 险 还 是 从 事 安全 产业 者 应 了 解 的 一 个 观念 。 

以 传统 的 保险 业 为 例 来 了 解 风险 的 含义 。 一 个 客户 因 感 到 危险 ,所 以 向 保险 公司 购 
买 保险 。 买 保险 前 ,如 果 出 车 祸 ,他 需要 花 很 多 修理 费 , 买 了 保险 后 就 可 减少 花 大 笔 钱 的 
风险 。 保 险 公司 设 定 保险 费 的 依据 有 两 个 ,一 个 是 汽车 修理 的 费用 , 另 一 个 是 该 客户 发 生 
车 祸 的 可 能 性 。 

从 上 面 的 例子 可 以 看 出 ,风险 包含 两 个 部 分 。 第 一 个 是 车 的 修理 费 ,如 果 车 祸 发 生 ， 
保险 公司 就 要 付 这 笔 费用 ,将 它 定 为 保险 公司 的 漏洞 或 脆弱 性 。 第 二 个 是 客户 发 生 车 祸 
的 可 能 性 ,这 是 对 保险 公司 的 威胁 ,因为 它 有 可 能 使 保险 公司 付 修理 费 。 因 此 ,漏洞 和 威 
胁 是 测定 风险 的 两 个 组 成 部 分 。 图 2-8 表示 漏洞 和 威胁 之 间 的 关系 ,由 图 可 知 , 如 果 没 有 
威胁 ,也 就 没有 风险 ;同样 地 ,如 果 没 有 漏洞 ,也 就 没有 风险 。 

1 漏洞 

漏洞 是 攻击 的 可 能 的 途径 。 漏 洞 有 可 能 存在 于 计算 机 系统 和 网 络 中 , 它 允 许 打 开 系 
统 , 使 技术 攻击 得 全 。 漏 洞 也 有 可 能 存在 于 管理 过 程 中 , 它 使 系统 环境 对 攻击 开放 。 

漏洞 的 多 少 是 由 需要 打开 系统 的 技术 熟练 水 平和 困难 程度 来 确定 的 ,还 要 考虑 系统 
暴露 的 后 果 。 如 果 漏 洞 易 于 暴露 ,并 且 一 旦 受到 攻击 ,攻击 者 可 以 完全 控制 系统 , 则 称 高 
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高 风险 


到 


威胁 


低 风险 


低 中 高 
漏洞 (脆弱 性 ) 
图 2-8 漏洞 和 威胁 的 关系 


值 漏洞 或 高 脆弱 性 。 如 果 攻 击 者 需要 对 设备 和 人 员 投 入 很 多 资源 ,漏洞 才能 暴露 ,并且 受 
到 攻击 后 ,也 只 能 获取 一 般 信 息 , 而 非 敏感 信息 , 则 称 低 值 漏洞 或 低 脆 弱 性 。 
漏洞 不 仅 和 计算 机 系统 ` 网 络 有 关 ,而且 和 物理 场地 安全 、` 员 工 的 情况 传送 中 的 信息 


2 威胁 
威胁 是 一 个 可 能 破坏 信息 系统 环境 安全 的 动作 或 事件 。 威 胁 包含 以 下 3 个 组 成 
部 分 ， 
(1) 目标 
威胁 的 目标 通常 是 针对 安全 属性 或 安全 服务 ,包括 机 密 性 .完整 性 .可 用 性 .可 审 性 
等 。 这 些 目标 是 在 威胁 背后 的 真正 理由 或 动机 。 一 个 威胁 可 能 有 几 个 目标 ,例如 ,可 审 性 
可 能 是 攻击 的 首要 目标 ,这 样 可 防止 留 下 攻击 者 的 记录 ,然后 ,把 机 密 性 作为 攻击 目标 ,以 
获取 一 些 关 键 数据 。 
(2) 代理 (攻击 主体 ) 
代理 需要 有 3 个 特性 : 
。 访问 。 一 个 代理 必须 有 访问 所 需要 的 系统 、 网 络 \ 设 施 或 信息 的 能 力 。 可 以 是 直 
接 访 问 ,例如 ,代理 有 系统 的 账号 。 也 可 以 是 间接 访问 ,例如 ,代理 通过 其 他 的 方 
法 来 访问 系统 。 代 理 有 的 访问 直接 影响 到 为 了 打开 漏洞 所 必须 执行 的 动作 的 
能 力 。 
。 知识 。 一 个 代理 必须 具有 目标 的 知识 .有 用 的 知识 包括 用 户 ID .口令 文件 位 置 、 
物理 访问 过 程 、 员 工 的 名 字 、 访 问 电话 号 码 、 网 络 地 址 、 安 全 程序 等 。 代 理 对 目标 
越 熟 悉 , 就 具有 越 多 的 存在 的 漏洞 的 知识 ;代理 对 存在 的 漏洞 知道 得 越 具 体 ,就 越 
能 获得 更 多 打开 漏洞 的 知识 。 
。 动机。 一 个 代理 对 目标 发 出 威胁 ,需要 有 动机 ,通常 动机 是 考虑 代理 攻击 目标 的 
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关键 特性 。 动 机 可 能 是 不 同 的 ,有 的 为 了 竞争 .挑战 ;有 的 是 贪心 ,以 获得 钱 、 物 、 
服务 .信心 ;* 有 的 是 对 某 组 织 或 个 人 有 恶意 伤害 的 企图 。 

根据 代理 的 3 个 特性 ,应 该 考虑 的 代理 可 能 是 各 种 各 样 的 ,包括 员工 .和 组 织 有 关 的 
外 部 员工 、 黑 客 、 商 业 对 手 、 恐 怖 分 子 、 罪 犯 , 客 户 \ 访 问 者 及 自然 灾害 等 。 

当 考虑 这 些 代理 时 ,应 该 作出 定量 的 判断 ,以 得 出 每 个 代理 对 访问 组 织 的 目标 的 必要 
性 ,根据 前 面 分 析 的 漏洞 考虑 攻击 的 可 能 性 。 

(3) 事件 (攻击 行为 ) 

事件 是 代理 采取 的 行为 ,从 而 导致 对 组 织 的 伤害 。 例 如 ,一 个 黑客 改变 一 个 组 织 的 
Web 页 面 来 伤害 它 。 另 外 要 考虑 的 是 假如 代理 得 到 访问 会 产生 什么 样 的 伤害 。 

常见 的 事件 如 下 : 

。 对 信息 .系统 ,场地 滥用 授权 访问 

。 恶意 地 改变 信息 ; 

，* 偶然 地 改变 信息 ; 

。 对 信息 ,系统 ,场地 非 授权 访问 ， 

。， 恶意 地 破坏 信息 ,系统 、 场 地 ; 

。 偶然 地 破坏 信息 、 系 统 、 场 地 ; 

。 对 系统 和 操作 的 恶意 物理 损害 ; 

。 对 系统 和 操作 的 偶然 物理 损害 ; 

。 由 于 自然 物理 事件 引起 的 系统 和 操作 的 损害 ; 

。 引入 对 系统 的 恶意 软件 ; 

。 破坏 内 部 或 外 部 的 通信 

，。 被 动 地 窃听 内 部 或 外 部 的 通信 

* 偷窃 硬件 。 


3 威胁 十 漏洞 二 风险 

风险 是 威胁 和 漏洞 的 综合 结果 。 没 有 漏洞 的 威胁 没有 风险 ,没有 威胁 的 漏洞 也 没有 风 
险 。 风 险 的 度量 是 要 确定 事件 发 生 的 可 能 性 和 造成 的 损失 。 风 险 可 划分 成 低 、 中 、 高 3 个 
级 别 。 

(1) 低级 别 风险 是 漏洞 使 组 织 的 风险 达到 一 定 水 平 , 然 而 不 一 定 发 生 。 如 有 可 能 应 
将 这 些 漏 洞 去 除 , 但 应 权衡 去 除 漏洞 的 代价 和 能 减少 的 风险 损失 。 

(2) 中 级 别 风险 是 漏洞 使 组 织 的 信息 系统 或 场地 的 风险 (机 密 性 、 完 整 性 .可 用 性、 可 
审 性 ?达到 相当 的 水 平 , 并 且 已 有 发 生 事件 的 现实 可 能 性 。 应 采取 措施 去 除 漏洞 。 

(3) 高 级 别 风险 是 漏洞 对 组 织 的 信息 .系统 或 场地 的 机 密 性 、 完 整 性 .可 用 性 和 可 审 
性 已 构成 现实 危害 。 必 须 立 即 采取 措施 去 除 漏洞 。 


232 风险 识别 


对 一 个 组 织 而 言 ,识别 风险 除了 要 识别 漏洞 和 威胁 外 ,还 应 考虑 已 有 的 对 策 和 预防 措 
施 ,如 图 2-9 所 示 。 
1 识别 漏洞 
识别 漏洞 时 ,从 确定 对 该 组 织 的 所 有 入 口 开始 ,也 就 是 寻找 该 组 织 内 的 系统 和 信息 的 
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所 有 访问 点 。 这 些 和 人 口 包括 Internet 的 连接 ,远程 访问 点 ,与 其 他 组 织 的 连接 ,设备 的 物 

理 访问 及 用 户 访问 点 等 。 i i 
对 每 个 访问 点 识别 可 访问 的 信息 和 系 

统 ,然后 识别 如 何 通过 入 口 访问 这 些 信息 

和 系统 。 应 该 包括 操作 系统 和 应 用 程序 中 

所 有 已 知 的 漏洞 。 在 以 后 的 章节 里 还 会 详 Ce 

细 地 作风 险 评估 。 


2 识别 现实 的 威胁 

威胁 评估 是 十 分 具体 的 ,有 时 也 是 很 
困难 的 。 在 试图 识别 一 个 组 织 或 目标 的 威 
胁 时 ,经 常会 转 到 那些 竞争 对 手 的 身上 。 已 有 的 预防 
然而 ,真正 的 威胁 往往 是 非常 隐蔽 的 ,在 攻 图 2-9 一 个 组 织 风 险 评估 的 组 成 
击 事件 发 生 以 前 ,真正 的 目标 威胁 往往 并 
不 暴露 出 来 。 

一 个 目标 威胁 是 对 一 个 已 知 的 目标 具有 已 知 的 代理 ,已 知 的 动机 ,已 知 的 访问 和 执行 
已 知 的 事件 的 组 合 。 例 如 ,有 一 个 不 满意 的 员工 (代理 ) 希 望 得 到 正在 该 组 织 进行 的 最 新 
设计 的 知识 (动机 ) ,该 员工 能 访问 组 织 的 信息 系统 (访问 ) ,并 知道 信息 存放 的 位 置 ( 知 
识 ) 。 该 员工 正 宇 测 新 设计 的 机 密 并 且 企图 获得 所 需 文件 。 

识别 所 有 的 目标 威胁 是 非常 费时 和 困难 的 。 可 以 变更 一 种 方法 , 即 假设 存在 一 个 
威胁 的 通用 水 平 ,这 个 威胁 可 能 包括 任何 具有 访问 组 织 信息 或 系统 的 可 能 性 的 人 。 这 
个 威胁 确实 是 存在 的 ,因为 人 们 (员工 、 客 户 、 供 应 商 等 ) 必 须 访问 该 组 织 的 系统 和 信 
息 ,这 对 其 工作 是 有 用 的 。 然 而 ,我 们 不 必要 具有 对 组 织 某 些 部 分 的 直接 的 或 特定 的 
威胁 的 知识 。 

假如 我 们 假设 一 个 通用 的 威胁 ( 某 些 人 可 能 具有 访问 、 知 识 、 动 机 做 某 些 坏事 ) ,就 能 
检查 组 织 内 允许 这 些 访问 发 生 可 能 产生 的 漏洞 。 将 任何 这 样 的 漏洞 计 入 风险 ,因为 我 们 
已 经 假定 这 些 有 可 能 暴露 漏洞 的 威胁 。 


3 检查 对 策 和 预防 措施 

在 分 析 评 估 攻 击 的 可 能 途径 时 ,必须 同时 检查 如 果 漏 洞 真正 存在 ,相应 环境 采取 的 对 
策 和 预防 措施 。 这 些 预防 措施 包括 防火 墙 、 防 病毒 软件 .访问 控制 , 双 因 子 身份 鉴别 系统 、 
仿生 网 络 安全 程序 ,用 于 访问 设备 的 卡 读 出 器 文件 访问 控制 ,对 员工 进行 安全 培训 等 。 

对 于 组 织 内 的 每 个 访问 点 都 应 有 相应 的 预防 措施 。 例 如 ,该 组 织 有 一 个 Internet 连 
接 ,这 就 提供 了 访问 该 组 织 内 部 系统 的 可 能 性 。 可 以 采用 防火 墙 来 保护 这 个 访问 点 ,设置 
和 检查 防火 墙 的 规则 ,可 以 很 好 地 识别 来 自 外 部 对 内 部 系统 访问 的 企图 。 这 样 外 部 攻击 
者 不 能 用 访问 点 的 某 些 漏洞 ,因为 防火 墙 阻止 访问 这 些 漏洞 和 系统 。 


4 识别 风险 
一 旦 对 漏洞 .威胁 、 预 防 措施 进行 了 识别 ,就 可 确定 该 组 织 的 风险 。 问 题 变 得 简单 了 ， 
即 给 出 具有 已 存在 的 预防 措施 下 识别 的 访问 点 ,还 有 可 能 进入 该 组 织 的 访问 点 。 
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为 了 回答 这 个 问题 ,首先 确定 每 个 访问 点 的 可 能 威胁 或 通用 威胁 ,并 检查 通过 每 个 访 
问 点 的 可 能 的 目标 (机 密 性 、 完 整 性 、 可 用 性 、 可 审 性 )。 基 于 它 的 危险 程度 给 每 个 风险 分 
成 高 .中 、 低 等 级 。 必 须 指出 ,对 于 相同 的 漏洞 ,可 能 得 出 基于 访问 点 的 不 同 级 别 的 风险 。 
例如 ,一 个 内 部 系统 在 它 的 邮件 系统 内 有 一 个 漏洞 ,对 外 部 来 说 ,攻击 者 必须 通过 
Internet 防火 墙 才能 发 现 系统 ,这 样 通过 该 访问 点 ,系统 是 不 可 访问 的 ,因此 没有 风险 。 
然而 ,对 内 部 员工 而 言 , 他 们 无 须 通过 防火 墙 进入 网 络 ,因而 可 访问 系统 。 这 就 意味 着 内 
部 员工 可 以 利用 这 个 漏洞 来 访问 系统 ,而 内 部 员工 并 未 列 为 威胁 源 , 因 此 可 将 它 列 为 中 等 
风险 级 别 。 

上 述 例子 中 ,如 果 物 理 安全 控制 很 弱 ,任何 人 可 随意 进出 ,使 非 授权 者 可 操作 该 系统 ， 
则 该 系统 即使 有 防火 墙 这 类 预防 措施 ,对 具有 恶意 动机 的 攻击 者 来 说 也 是 无 效 的 。 由 于 
缺乏 物理 安全 预防 措施 ,这 种 情况 下 应 列 为 高 风险 级 别 。 

当然 ,仅仅 将 风险 分 成 高 、 中 、 低 3 个 级 别 还 未 解决 风险 识别 的 全 部 问题 ,还 应 看 如 果 
漏洞 暴露 ,对 该 组 织 的 危害 是 否 是 持续 的 ;该 组 织 需要 花费 多 少 资源 ,才能 减少 风险 。 


233 风险 测量 


风险 测量 必须 识别 出 在 受到 攻击 后 该 组 织 需要 付出 的 代价 。 图 2-10 表示 风险 测量 
的 全 部 。 


识别 漏洞 识别 威胁 


已 有 的 预防 


图 2-10 测量 风险 


认识 到 风险 使 该 组 织 付出 的 代价 也 是 确定 如 何 管理 风险 的 决定 因素 。 风 险 永 远 不 可 
能 完全 去 除 ,风险 必 须 管理 。 

代价 是 多 方面 的 ,包括 资金 .时 间 资源、 信誉 及 丢失 生意 等 。 

1 资金 

资金 是 最 显而易见 的 风险 代价 ,包括 损失 的 生产 能 力 、 设 备 或 金钱 的 被 窃 、 调 研 的 费 
用 、 修 理 或 替换 系统 的 费用 ,专家 费用 、 员 工 加 班 时 间 等 。 

上 面 只 是 列 出 了 部 分 代价 ,可 见 风险 代价 之 巨大 。 有 些 损失 在 实际 的 事件 发 生前 是 
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不 知道 的 ,也 应 将 其 计 入 风险 代价 。 

最 困难 的 资金 代价 估计 是 损失 的 生产 能 力 这 一 项 。 有 的 生产 能 力 损失 是 永远 不 可 
恢复 的 ,有 的 生产 能 力 损失 可 在 付出 一 定 费 用 恢复 系统 后 恢复 。 有 些 是 难以 估计 的 ， 
例如 ,在 一 个 制造 工厂 , 它 依靠 计 算 机 系统 调度 生产 、 预 订 原 料 、 跟 踪 生产 流 程 ,如 受到 
攻击 后 ,系统 不 可 用 了 ,有 可 能 使 24 小 时 后 原材料 供应 不 上 了 ,而 调度 生产 在 一 个 8 小 
时 班 后 也 停 了 。 设 想 一 下 ,如 果 计 算 机 系统 7 天 不 可 用 ,这 时 该 工厂 的 损失 有 多 大 , 需 
要 计 及 这 7 天 停工 的 损失 ,及 为 使 生产 恢复 正常 需要 加 班 的 时 间 , 甚 至 还 有 一 些 不 可 估 
计 的 损失 。 

2 时 间 

时 间 的 代价 很 难 量 化 。 由 于 安全 事件 使 一 个 技术 人 员 不 能 执行 其 正常 的 任务 ,或 许 
可 以 按时 间 的 总 和 计算 ,但 又 如 何 计算 其 他 人 员 等 待 计算 机 修复 所 付出 的 时 间 代价 呢 ? 

时 间 可 能 以 关键 系统 宕 机 时 间 来 计算 ,例如 ,一 个 组 织 的 Web 站 受 破坏 了 ,该 系统 只 
能 离线 并 修复 。 那 么 如 何 计算 该 Web 站 宕 机 所 造成 的 影响 ? 

再 如 ,由 于 攻击 得 退 导 致 该 组 织 的 产品 延迟 ,如何 来 计算 由 于 该 延迟 引起 的 损失 ,但 
无 论 如 何 , 时 间 损 失 必 须 计 入 风险 测量 中 。 


3 资源 

资源 可 以 是 人 、 系 统 、 通 信 线 路 、 应 用 程序 或 访问 。 资 源 代价 指 如 攻击 得 进 ,需要 多 少 
资源 来 恢复 正常 。 很 明显 ,对 一 些 能 用 钱 来 计算 的 资源 是 可 能 计算 的 ,然而 对 一 些 不 可 用 
钱 来 计算 的 资源 就 难以 估算 ,如 本 应 去 完成 另 一 任务 的 人 来 处 理 该 事故 恢复 , 则 另 一 任务 
的 延误 如 何 确定 其 代价 ?又 如 ,攻击 使 网 络 连接 很 慢 ,由 此 引起 的 很 多 需要 连接 网 络 的 工 
作 延 误 , 这 一 损失 代价 又 如 何 计算 ? 


4 信誉 

一 个 组 织 的 信誉 损失 是 十 分 关键 的 损失 ,然而 这 类 损失 的 代价 也 难以 测量 。 什 么 是 
一 个 组 织 的 真正 的 信誉 损失 代价 ? 

信誉 就 是 诚信 、 可 信 。 一 个 组 织 在 公众 心目 中 的 可 信 度 是 十 分 重要 的 。 例 如 , 银 
行 的 信誉 就 等 于 该 银行 在 公众 心目 中 的 可 信和 度 ,客户 的 钱 是 否 能 安全 地 存放 决定 了 
客户 是 否 愿 意 将 钱 存 和 人 该 银行 ,否则 客户 就 会 将 已 存 的 钱 从 该 银行 取 走 ,甚至 使 银 
行 倒闭 。 又 如 ,一 个 慈善 机 构 的 信誉 就 是 能 否 合理 地 使 用 捐款 ,这 决定 了 它 是 否 能 
募集 到 资金 。 

对 每 个 识别 风险 的 风险 测量 的 可 能 结果 ,回答 以 下 问题 : 

。 识破 风险 所 需 的 花费 是 多 少 ? 包括 跟踪 的 员工 时 间 ,顾问 时 间 、 新 设备 的 花费 。 

。 为 了 成 功 地 识破 风险 要 花 多 少时 间 ? 

。 什么 样 的 资源 会 受到 影响 ”而 组 织 的 哪 一 部 分 依赖 于 这 些 资 源 ? 

。 该 事件 对 组 织 的 信誉 影响 如 何 ? 

。 会 丢失 多 少 经 营 的 业务 ? 什么 类 型 的 业务 会 丢失 ? 

回答 了 上 述 问题 以 后 ,可 列 出 一 个 表 , 以 表示 每 个 风险 可 能 引起 的 后 果 。 利 用 这 些 信 
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2.4 ”本 章 小 结 


风险 分 析 是 对 需要 保护 的 资产 及 其 受到 的 潜在 威胁 的 鉴别 过 程 。 风 险 是 威胁 和 漏洞 
的 组 合 。 正 确 的 风险 分 析 是 保证 网 络 环境 及 其 信息 安全 的 极其 重要 的 一 步 。 

风险 分 析 始 于 对 需要 保护 的 资产 (物理 资源 、 知 识 资源 .时 间 资 源 、 信 誉 资源 ) 的 鉴别 
及 对 资产 威胁 的 潜在 攻击 源 的 分 析 。 资 产 的 有 效 保护 是 尽 可 能 降低 资产 受 危害 的 潜在 代 
价 及 由 于 采取 安全 措施 付出 的 操作 代价 。 一 个 性 能 良好 的 安全 系统 结构 和 安全 系统 平 
台 , 可 以 低 的 安全 代价 换取 高 的 安全 强度 。 

从 安全 属性 的 观点 可 将 攻击 类 型 分 成 阻 断 攻 击 ,截取 攻击 、 自 改 攻击 、 伪 造 攻击 4 类 。 
从 攻击 方式 可 将 攻击 类 型 分 为 被 动 攻击 和 主动 攻击 两 类 。 还 可 从 攻击 目的 和 效果 将 攻击 
类 型 分 为 访问 攻击 ` 自 改 攻击 .拒绝 服务 攻击 .否认 攻击 。 

风险 是 构成 安全 基础 的 基本 观念 ,风险 是 丢失 需要 保护 的 资产 的 可 能 性 。 如 果 没 有 
风险 ,就 不 需要 安全 。 威 胁 是 可 能 破坏 信息 系统 环境 安全 的 行动 或 事件 ,威胁 包含 目标 、 
代理 ,事件 3 个 组 成 部 分 。 漏 洞 是 攻击 的 可 能 的 途径 。 风 险 是 威胁 和 漏洞 的 综合 结果 。 
没有 漏洞 的 威胁 没有 风险 ,没有 威胁 的 漏洞 也 没有 风险 。 

识别 风险 除了 识别 漏洞 和 威胁 外 ,还 应 考虑 已 有 的 对 策 和 预防 措施 。 识 别 漏 洞 应 寻 
找 系统 和 信息 的 所 有 入口 及 分 析 如 何 通过 这 些 和 人口 访问 系统 。 识 别 威胁 是 对 目标 .代理 、 
动机 及 事件 的 识别 。 一 旦 对 漏洞 威胁、 预防 措施 进行 了 识别 ,就 可 确定 对 该 组 织 的 风险 。 

风险 测量 是 确定 由 于 攻击 引起 的 代价 ,包括 资金 ,时间 ` 资 源 、 信 誉 。 对 每 个 识别 的 风 
险 判定 风险 测量 的 可 能 结果 。 综 合 这 些 信 息 , 开 发 相应 的 风险 管理 项 目 。 风 险 永远 不 可 
能 完全 去 除 ,风险 必须 管理 。 


习 题 


1. 对 攻击 可 能 性 的 分 析 在 很 大 程度 上 带 有 ( )。 
A. 客观 性 B. 主观 性 C. 盲目 性  D. 上 面 3 项 都 不 是 
2. 网 络 安全 最 终 是 一 个 折 中 的 方案 , 即 安全 强度 和 安全 操作 代价 的 折 中 , 除 增加 安 
全 设施 投资 外 ,还 应 考虑 (。 )。 
A. 用 户 的 方便 性 
B. 管理 的 复杂 性 
C. 对 现 有 系统 的 影响 及 对 不 同 平台 的 支持 
D. 上 面 3 项 都 是 
3. 从 安全 属性 对 各 种 网 络 攻击 进行 分 类 , 阻 断 攻击 是 针对 ( ) 的 攻击 。 
A. 机 密 性 B. 可 用 性 C. 完整 性 。” D. 真实 性 
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4. 从 安全 属性 对 各 种 网 络 攻击 进行 分 类 ,截获 攻击 是 针对 (  ) 的 攻击 。 
A. 机 密 性 B. 可 用 性 C. 完整 性 。” D. 真实 性 
5. 从 攻击 方式 区 分 攻击 类 型 ,可 分 为 被 动 攻 击 和 主动 攻击 ,被 动 攻 击 难以 ( ), 然 而 
(”) 这 些 攻击 是 可 行 的 ;主动 攻击 难以 ( ), 然 而 (”) 这 些 攻 击 是 可 行 的 。 
A. 阻止 ,检测 ,阻止 ,检测 B. 检测 ,阻止 ,检测 ,阻止 
C. 检测 ,阻止 ,阻止 ,检测 D. 上 面 3 项 都 不 是 
6. 窃听 是 一 种 ( ”) 攻 击 , 攻 击 者 ( ) 将 自己 的 系统 插入 到 发 送 站 和 接收 站 之 间 。 截 
获 是 一 种 ( ) 攻 击 , 攻 击 者 ( ) 将 自己 的 系统 插入 到 发 送 站 和 接收 站 之 间 。 


A. 被 动 ,无 须 ,主动 ,必须 B. 主动 ,必须 ,被 动 ,无 须 
C. 主动 ,无 须 , 被 动 ,必须 D. 被 动 ,必须 ,主动 ,无 须 
7. 威胁 是 一 个 可 能 破坏 信息 系统 环境 安全 的 动作 或 事件 ,威胁 包括 ( )。 
A. 目标 B. 代理 C. 事件 D. 上 面 3 项 都 是 
8. 对 目标 的 攻击 威胁 通常 通过 代理 实现 ,而 代理 需要 的 特性 包括 ( )。 
A. 访问 目标 的 能 力 B. 对 目标 发 出 威胁 的 动机 
C. 有 关 目 标的 知识 D. 上 面 3 项 都 是 
9. 拒绝 服务 攻击 的 后 果 是 ( )。 
A. 信息 不 可 用 B. 应 用 程序 不 可 用 
C. 系统 宕 机 D. 阻止 通信 
E. 上 面 几 项 都 是 


10. 风险 是 丢失 需要 保护 的 ( ) 的 可 能 性 ,风险 是 ( ) 和 ( ) 的 综合 结果 。 
A. 资产 ,攻击 目标 ,威胁 事件 B. 设备 ,威胁 ,漏洞 
C. 资产 ,威胁 ,漏洞 D. 上 面 3 项 都 不 对 
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3 但 
2 


本 章 要 点 : 

。 安 全 策略 的 功能 ; 

。 与 网 络 安全 有 关 的 策略 类 型 及 其 功能 ; 
。 与 网 络 安全 有 关 的 各 种 管理 程序 功能 ; 
。 安全 策略 的 生成 .展开 和 有 效 使 用 。 


31 安全 策略 的 功能 


安全 策略 对 一 个 组 织 来 说 是 十 分 重要 的 ,是 一 个 组 织 的 信息 安全 部 门 能 做 的 最 重要 
的 工作 之 一 。 它 只 涉及 很 少 的 技术 知识 ,因而 很 多 有 专业 技能 的 人 似乎 对 其 并 不 太 重 视 ， 
事实 上 ,安全 策略 对 他 们 也 是 非常 重要 的 。 

安全 策略 提供 一 系列 规则 ,管理 和 控制 系统 如 何 配置 ,组 织 的 员工 应 如 何在 正常 的 环 
境 下 行动 ,而 当 发 生 环境 不 正常 时 ,应 如 何 反 应 。 安 全 策略 执行 两 个 主要 任务 。 


1 确定 安全 的 实施 

安全 策略 确定 实施 什么 样 的 安全 ,具体 内 容 如 下 : 

(1) 安全 策略 确定 恰当 的 计算 机 系统 和 网 络 的 配置 及 物理 安全 的 措施 ,以 及 确定 所 
使 用 的 合理 机 制 以 保护 信息 和 系统 。 

(2) 安全 策略 不 仅 确定 安全 的 技术 方面 ,还 规定 员工 应 该 执行 某 些 和 安全 相关 的 责 
任 ( 例 如 用 户 管 理 ) ,以 及 员工 在 使 用 计算 机 系统 时 所 要 求 的 行为 。 

(3) 安全 策略 还 规定 当 非 期 望 的 事情 发 生 时 ,组 织 应 如 何 反 应 。 当 一 个 安全 事故 发 
生 , 或 系统 出 故障 时 ,组 织 的 安全 策略 和 安全 程序 规定 其 应 做 的 事 ,以 及 在 事故 发 生 时 ,该 
组 织 的 行动 目标 。 

2 使 员工 的 行动 一 致 

对 一 个 组 织 来 说 ,确定 实施 什么 样 的 安全 是 重要 的 ,然而 使 每 个 工作 人 员 行 动 一 致 以 
维护 组 织 的 安全 也 是 同样 重要 的 。 安 全 策略 为 一 个 组 织 的 员工 规定 一 起 工作 的 框架 。 组 
织 的 安全 策略 和 安全 过 程 规定 了 安全 程序 的 目标 和 对 象 。 将 这 些 目 标 和 对 象 告诉 员工 ， 
就 为 安全 工作 组 提供 了 基础 。 
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3.2 安全 策略 的 类 型 


一 个 组 织 内 的 安全 策略 和 安全 程序 有 很 多 种 ,本 节 将 概述 常用 的 有 效 的 安全 策略 和 
安全 程序 。 在 安全 策略 中 ,一 般 包 含 3 个 方面 : 

(1) 目的 

一 个 安全 策略 和 安全 程序 应 该 有 一 个 很 好 定义 的 目的 ,其 文本 应 明确 说 明 为 什么 要 
制定 该 策略 和 程序 ,及 其 对 该 组 织 有 什么 好 处 。 

(2) 范围 

一 个 安全 策略 和 安全 程序 应 该 有 一 个 适用 的 范围 。 例 如 ,一 个 安全 策略 可 适用 于 所 
有 计算 机 和 网 络 系统 ,一 个 信息 策略 可 适用 于 所 有 员工 。 

(3) 责任 

责任 规定 谁 负责 该 文本 的 实施 。 不 管 谁 负 有 责任 ,都 必须 经 过 很 好 的 培训 ,明白 文本 
的 各 项 要 求 。 


321 信息 策略 


信息 策略 定义 一 个 组 织 内 的 敏感 信息 以 及 如 何 保护 敏感 信息 。 策 略 获 盖 该 组 织 内 的 
全 部 敏感 信息 。 每 个 员工 有 责任 保护 所 有 接触 的 敏感 信息 


1 识别 敏感 信息 

根据 该 组 织 的 业务 ,考虑 哪些 是 敏感 信息 。 敏 感 信息 有 可 能 包括 经 营业 务 记录 、 产 品 
设计 ,专利 信息 、 公 司 电话 簿 等 。 

某 些 信息 对 所 有 组 织 都 是 敏感 信息 ,包括 工资 信息 、 员 工 家 庭 住 址 和 电话 号 码 、 医 疗 
保险 信息 、 任 何在 公开 以 前 的 财务 信息 等 。 

值得 指出 的 是 ,对 一 个 组 织 来 说 ,不 是 所 有 信息 在 所 有 时 间 都 是 敏感 的 。 必 须根 据 安 
全 策略 和 安全 程序 很 小 心地 确定 什么 是 敏感 信息 。 


2 信息 分 类 

对 大 部 分 组 织 而 言 ,通常 将 信息 分 成 二 或 三 级 已 足够 了 ,具体 如 下 : 

(1) 最 低级 别 的 信息 应 该 是 公开 的 ,也 就 是 说 ,这 些 信息 已 为 人 所 知 ,或 能 公开 发 表 。 

(2) 再 上 一 级 的 信息 是 不 公开 发 表 的 ,这 些 信息 称 为 “私有 ”“ 公 司 敏感 "或 “公司 秘 
密 ”。 这 类 信息 对 本 组 织 员工 是 公开 的 ,对 某 些 组 织 外 的 人 员 需 签 不 扩散 协议 才能 得 到 。 
如 果 这 些 信 息 被 公开 或 被 竞争 者 得 到 ,就 有 损 于 该 组 织 。 

(3) 第 三 类 信息 称 为 限制 ?或 “保护 ”。 这 类 信息 被 严格 限制 在 一 个 组 织 内 的 很 有 限 
的 员工 范围 内 ,不 能 向 组 织 内 的 全 体 员 工 发 布 ,更 不 能 被 组 织 外 的 人 得 到 。 


3 敏感 信息 标记 

对 于 非 公开 信息 ,安全 策略 应 将 各 类 敏感 信息 清楚 地 加 上 标记 。 如 果 以 纸张 的 形式 
出 现 ,应 在 每 页 的 顶部 和 底部 加 标记 ,用 字 处 理 的 页 眉 、 页 脚 来 实现 。 通 常用 醒目 的 大 写 
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或 斜体 字 标 记 。 


4 敏感 信息 存储 

安全 策略 对 存储 在 纸 上 或 计算 机 系统 中 的 敏感 信息 都 应 有 相应 的 规定 。 

当 信息 存储 在 计算 机 系统 中 ,安全 策略 规定 相应 的 保护 级 别 。 可 以 是 文件 的 访问 控 
制 , 或 对 某 些 类 型 文件 用 合适 的 口令 保护 。 极 端 情况 需要 加 密 措施 。 应 该 记 住 ,系统 管理 
员 能 看 到 计算 机 系统 中 的 所 有 文本 。 如 果 该 敏感 信息 不 应 被 系统 管理 员 知道 ,只 有 采取 
加 密 措 施 。 


5 敏感 信息 传输 

信息 策略 必须 确定 如 何 传输 敏感 信息 。 可 以 用 不 同方 法 传输 信息 ,如 电子 邮件 .通过 
邮局 邮寄 ,传真 等 。 信 息 策略 应 对 每 种 传输 方法 确定 保护 方法 。 

对 通过 电子 邮件 传送 的 敏感 信息 ,安全 策略 应 规定 对 用 附件 方式 的 文件 或 报 文 头 进 
行 加 密 。 对 硬 拷贝 信息 的 传送 ,需要 签收 收据 的 方式 。 对 传真 方式 的 传送 ,发 送 者 需要 用 
电话 事先 通知 接收 者 等 候 在 传真 机 旁 。 


6 敏感 信息 销毁 

留 在 纸 上 的 敏感 信息 必须 有 相应 的 销毁 方法 。 存 储 在 计算 机 系统 中 的 敏感 信息 ,如 
果 删 除 得 不 合适 , 仍 有 可 能 恢复 。 某 些 商 业 的 软件 工具 已 有 更 安全 的 方法 ,将 敏感 信息 从 
介质 中 擦 去 。 


322 系统 和 网 络 安全 策略 


安全 策略 规定 计算 机 系统 和 网 络 设备 安 全 的 技术 要 求 ,规定 系统 或 网 络 管理 员 应 如 
何 配置 与 安全 相关 的 系统 。 这 个 配置 也 会 影响 用 户 。 系 统 和 网 络 管理 员 应 对 安全 策略 的 
实施 负 主 要 责任 。 

安全 策略 应 定义 每 个 系统 实施 时 的 要 求 ,然而 它 不 应 规定 对 不 同 操作 系统 的 专门 配 
置 ,这 属于 专门 配置 的 过 程 。 


1 用 户 身份 及 身份 鉴别 

安全 策略 应 确定 如 何 识别 用 户 。 通 常安 全 策略 应 规定 用 于 用 户 ID 的 标准 或 定义 标 
准 的 系统 管理 过 程 。 

更 为 重要 的 是 ,安全 策略 应 确定 对 系统 用 户 或 管理 员 的 基本 的 鉴别 机 制 。 如 果 机 制 是 
口令 , 则 安全 策略 还 应 规定 最 小 的 口令 字 长 .最 长 和 最 短 的 口令 生存 期 以 及 口令 内 容 的 
要 求 。 

当 开 发 安全 策略 时 ,每 个 组 织 还 应 决定 是 对 管理 员 采 用 相同 的 机 制 , 还 是 更 强 的 机 
制 。 如 果 需 要 更 强 的 机 制 , 安 全 策略 应 确定 相应 的 安全 要 求 。 更 强 的 机 制 对 诸如 VPN 
或 拨号 访问 这 些 远程 访问 也 是 适用 的 。 

2 访问 控制 

安全 策略 应 确定 对 电子 文件 的 访问 控制 的 标准 要 求 ,具体 如 下 : 

(1) 在 确定 机 制 时 ,对 计算 机 上 的 每 个 文件 ,用 户 定义 的 访问 控制 的 某 些 方式 应 是 可 
用 的 。 这 个 机 制 应 和 身份 鉴别 机 制 一 起 工作 ,以 确保 只 有 授权 用 户 能 访问 文件 。 该 机 制 
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至 少 应 能 确定 什么 样 的 用 户 有 读 、 写 .执行 文件 的 许可 。 
(2) 对 新 文件 的 默认 配置 应 说 明 当 新 文件 生成 时 应 如 何 建立 许可 。 这 部 分 安全 策略 
应 对 给 出 的 系统 中 的 文件 确定 读 、 写 .执行 的 许可 。 


3 审计 

安全 策略 的 审计 部 分 应 确定 所 有 系统 上 需要 审计 的 事件 类 型 。 通 常安 全 策略 需 对 下 
列 事件 进行 审计 : 成 功 或 失败 的 登录 、 退 出 系统 、 对 文件 或 系统 的 访问 失败 、 成 功 或 失败 
的 远程 访问 、 特 权 操 作 (由 管理 员 操 作 , 成 功 或 失败 ) 、 系 统 事件 (关机 或 重启 )。 

对 每 个 事件 应 捕获 下 列 信息 : 用 户 ID .日 期 和 时 间 、 进 程 ID、 执 行 的 动作 、 事 件 的 成 
功 或 失败 。 

安全 策略 应 说 明 审 计 记 录 应 保存 多 久 以 及 如 何 存放 。 如 有 可 能 ,安全 策略 还 应 确定 
如 何 检查 审计 记录 以 及 检查 的 时 间 间 隔 。 


4 网 络 连接 
对 每 一 种 接 到 组 织 网 络 的 连接 形式 ,安全 策略 应 说 明 连 接 的 规则 以 及 保护 机 制 。 
对 拨号 连接 ,应 说 明 对 这 类 连接 技术 的 鉴别 要 求 。 该 要 求 应 指 回 到 策略 的 身份 鉴别 
一 部 分 。 也 可 能 描述 一 个 比 通常 使 用 的 更 强 的 身份 鉴别 。 
此 外 ,安全 策略 应 确定 开始 得 到 拨号 访问 的 身份 鉴别 要 求 。 对 一 个 组 织 来 说 ,应 严格 
制 允许 多 少 个 拨号 访问 点 ,因此 应 公平 地 限制 身份 鉴别 的 要 求 。 
一 个 组 织 的 固定 网 络 连接 是 由 某 些 类 型 的 固定 通信 线路 接 和 人 的。 安全 策略 应 确定 用 
于 这 些 连 接 的 安全 设备 类 型 。 通 常 防 火 墙 是 合适 的 设备 。 仅 仅 说 明 设备 类 型 并 不 意味 着 
说 明了 相应 的 保护 级 别 。 安 全 策略 应 定义 一 个 设备 的 基本 网 络 访问 控制 策略 以 及 请 求 和 
得 到 访问 的 过 程 。 这 些 在 标准 的 配置 中 是 没有 的 。 
对 内 部 系统 的 远程 访问 是 组 织 允 许 员 工 在 外 出 时 从 外 部 访问 内 部 系统 。 安 全 策略 应 
说 明 这 类 访问 所 采用 的 机 制 。 对 这 类 访问 ,所 有 的 通信 应 加 密 保护 ,并 在 加 密 部 分 说 明 密 
码 类 型 。 因 为 访问 来 自 外 部 ,应 确定 一 个 强 的 身份 鉴别 机 制 。 
安全 策略 还 应 对 允许 员工 得 到 这 类 访问 的 授权 建立 一 个 正确 的 过 程 。 
5 恶意 代码 
安全 策略 应 确定 搜索 恶意 代码 (如 病毒 .特洛伊 木马 ) 的 安全 程序 的 存放 位 置 。 合 适 
的 位 置 包括 文件 服务 器 .桌面 系统 以 及 电子 邮件 服务 器 等 。 
安全 策略 应 说 明 这 些 安全 程序 的 要 求 , 包 括 检查 专门 的 文件 系统 的 安全 程序 要 求 以 
及 当 这 些 文件 打开 时 检查 这 些 文件 。 策 略 还 应 要 求 对 安全 程序 周期 地 更 新 签名 。 


6 加 密 

安全 策略 应 确定 使 用 在 组 织 内 的 可 接受 的 加 密 算法 ,在 信息 策略 中 指出 保护 敏感 信 
息 的 相应 算法 。 安 全 策略 不 限制 仅仅 选择 一 种 算法 。 安 全 策略 还 应 说 明 密 钥 管 理 需 要 的 
过 程 。 


323 计算 机 用 户 策略 
计算 机 用 户 策略 规定 了 谁 可 以 使 用 计算 机 系统 以 及 使 用 计算 机 系统 的 规则 。 
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1 计算 机 所 有 权 

策略 应 清楚 地 说 明 所 有 计算 机 属于 本 组 织 , 并 且 提 供给 员工 在 组 织 内 用 于 工作 相 一 
致 的 用 途 。 策 略 也 可 能 禁止 使 用 非 组 织 的 计算 机 用 于 组 织 的 经 营业 务 。 例 如 ,员工 希望 
在 家 里 做 某 些 工作 ,组 织 将 为 其 提供 计算 机 ,但 只 有 组 织 提供 的 计算 机 可 通过 远程 访问 系 
统 接 到 组 织 内 部 的 计算 机 系统 。 


2 信息 所 有 权 

策略 应 规定 所 有 存储 并 用 于 组 织 内 的 计算 机 的 信息 属于 组 织 所 有 。 某 些 员工 可 能 使 
用 组 织 的 计算 机 存储 个 人 信息 ,如果 策 略 没 有 特殊 说 明 , 则 个 人 信息 可 分 开 存在 私人 目录 
下 ,并 且 非 公开 的 。 


3 计算 机 的 使 用 许可 

大 部 分 组 织 期 望 员 工 只 使 用 组 织 提供 的 计算 机 ,用 于 和 工作 有 关 的 目的 。 但 这 不 总 
是 一 个 很 好 的 假定 。 因 此 在 策略 中 要 明确 说 明 , 例 如 ,组 织 的 计算 机 只 允许 用 于 工作 
目的 。 

有 时 ,组 织 允 许 员 工 为 了 其 他 目的 使 用 组 织 的 计算 机 ,例如 ,允许 员工 晚上 在 内 部 网 
上 玩 游戏 。 如 果 是 这 样 , 应 在 策略 中 清楚 说 明 。 

使 用 组 织 提 供 的 计算 机 还 影响 到 什么 软件 加 载 到 系统 。 规 定 非 授权 软件 不 允许 装 入 
系统 。 策 略 应 规定 谁 可 以 装载 授权 软件 以 及 怎样 成 为 合法 软件 。 


4 没有 隐私 的 要 求 

计算 机 用 户 策略 中 最 重要 的 部 分 或 许 是 规定 在 任何 组 织 的 计算 机 存储 、 读 出 接收 的 
信息 都 没有 隐私 。 这 对 员工 是 十 分 重要 的 ,他 们 应 了 解 任何 信息 有 可 能 被 管理 员 检 查 , 包 
括 电 子 邮 件 。 也 就 是 说 ,使 员工 了 解 管理 员 或 安全 职员 可 能 监视 所 有 和 计算 机 相关 的 动 
作 , 包 括 监视 Web 站 点 。 


324 Internet 使 用 策略 


Internet 使 用 策略 经 常 包括 在 通用 计算 机 使 用 策略 中 。 然 而 ,由 于 Internet 的 特殊 
性 ,有 时 将 它 作 为 单独 的 策略 。Internet 的 接 入 可 以 提高 员工 的 工作 效率 。 但 Internet 
也 给 员工 提供 了 一 个 滥用 计算 机 资源 的 机 会 。 

Internet 使 用 策略 规定 了 如 何 合理 地 使 用 Internet, 诸 如 和 业务 有 关 的 研究 .采购 ,或 
使 用 电子 邮件 通信 等 :确定 哪些 是 非 正 当 使 用 ,诸如 访问 和 业务 无 关 的 Web 站 点 、 下 载 有 
版 权 的 软件 .音乐 文件 的 交易 .发送 连锁 邮件 等 。 

假如 该 策略 是 从 计算 机 用 户 策略 分 离 出 来 的 , 它 应 说 明 组 织 有 可 能 监视 员工 对 
Internet 的 使 用 , 当 员 工 使 用 Internet 时 ,没有 隐私 的 问题 。 


325 邮件 策略 


有 些 组 织 为 电子 邮件 的 使 用 开发 了 专门 的 策略 。 电 子 邮 件 正 越 来 越 多 地 用 于 组 织 的 
业务 处 理 。 电 子 邮 件 是 使 组 织 的 敏感 信息 毫 无 价值 的 另 一 种 方法 。 当 一 个 组 织 选择 定义 
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电子 邮件 策略 时 ,应 考虑 到 内 外 两 方面 的 问题 。 


1 内 部 邮件 问题 
电子 邮件 策略 不 应 和 其 他 的 人 力 资源 策略 相 冲 突 。 例 如 ,电子 邮件 策略 应 规定 禁止 
利用 电子 邮件 进行 性 骚扰 ;又 如 ,规定 在 电子 邮件 中 不 用 非 正式 用 语 和 同伴 通信 。 

如 果 组 织 要 对 电子 邮件 的 某 些 关键 字 或 附件 进行 监控 , 则 策略 应 说 明 这 类 监控 可 能 
发 生 。 策 略 还 应 对 员工 说 明 不 能 期 望 在 电子 邮件 中 有 隐私 。 


2 外 部 邮件 问题 

电子 邮件 可 能 包含 一 些 敏 感 信息 。 邮 件 策 略 说 明 在 什么 条 件 下 是 可 以 接受 的 ,并 且 
在 信息 策略 中 指出 该 类 信息 应 如 何 保护 。 也 可 能 在 外 部 邮件 的 底部 指出 相应 的 信息 必须 
保护 。 

邮件 策略 还 应 识别 进入 的 电子 邮件 问题 。 例 如 ,很 多 组 织 测试 进入 的 文件 附件 是 否 
有 病毒 。 该 策略 应 指向 组 织 的 安全 策略 关于 相应 的 病毒 配置 问题 。 


326 用 户 管理 程序 


用 户 管理 程序 是 最 容易 被 组 织 忽视 的 安全 程序 ,因而 提供 了 最 大 风险 的 可 能 。 保 护 
系统 不 被 非 授权 者 使 用 的 安全 机 制 是 一 个 很 好 的 事情 ,但 是 如 计算 机 系统 的 使 用 没有 合 
适 的 管理 也 将 使 其 完全 无 用 。 


1 新 员工 程序 

应 为 新 员工 提供 一 个 正确 访问 计算 机 资源 的 程序 。 应 该 由 人 力 资源 部 门 和 系统 管理 
员 协 同 工 作 。 理 想 的 状况 是 新 员工 请 求 使 用 计算 机 资源 ,该 新 员工 的 管理 者 签发 批准 , 然 
后 系统 管理 员 将 为 该 新 员工 提供 合适 的 系统 和 文件 的 访问 。 这 个 程序 也 应 用 于 新 的 顾问 
和 临时 员工 ,并 标明 相应 的 有 效 期 。 

2 工作 调动 的 员工 程序 

对 工作 调动 的 员工 也 应 开发 一 个 专门 的 程序 。 这 个 程序 的 开发 由 人 力 资源 和 系统 管 
理 部 门 协作 。 员 工 原来 的 管理 和 新 管理 者 应 确定 换 到 新 岗位 上 的 员工 已 经 不 需要 原来 的 
访问 或 者 需要 新 的 访问 。 相 应 的 系统 管理 员 依 此 进行 变更 。 


3 离职 员工 的 程序 

最 重要 的 用 户 管理 程序 是 将 离职 的 员工 从 系统 中 除去 。 该 程序 也 需 人 力 资 源 和 系统 
管理 部 门 协作 。 当 人 力 资源 部 认定 一 个 员工 离职 ,将 提前 通知 相应 的 系统 管理 员 ,这 样 当 
该 员工 在 职 的 最 后 一 天 就 可 将 其 账户 停止 。 


327 系统 管理 程序 


系统 管理 程序 是 确定 安全 和 系统 管理 如 何 配合 工作 以 使 组 织 的 系统 安全 。 系 统管 理 
程序 应 确定 各 种 和 安全 相关 的 系统 管理 如 何 完成 。 当 谈 及 系统 管理 员 监控 网 络 的 能 力 
时 ,该 程序 应 由 计算 机 用 户 策略 确定 ,并 反映 组 织 期 望 系统 如 何 管理 。 


1 软件 更 新 

该 程序 应 确定 一 个 系统 管理 员 多 长 时 间 检 查 新 的 补丁 或 从 厂家 升级 。 和 希望 这 些 新 的 
补丁 不 是 当 出 现时 刚刚 安装 ,这 样 在 补丁 安装 之 前 就 规定 测试 。 

最 后 , 当 这 样 的 升级 发 生 时 (通常 在 维护 窗口 ) 该 程序 应 做 文档 , 当 升 级 失败 时 放弃 
程序 。 

2 漏洞 扫描 

每 个 组 织 应 开发 一 个 识别 计算 机 系统 漏洞 的 程序 。 通 常 由 安全 方面 扫描 漏洞 ,由 系 
统管 理 做 补丁 。 已 有 一 些 商 业 的 和 免费 使 用 的 扫描 工具 。 

程序 应 确定 多 长 间隔 需 进 行 扫描 。 扫 描 的 结果 应 传 给 系统 管理 来 纠 错 和 执行 


3 策略 检查 
组 织 的 安全 策略 确定 每 个 系统 的 安全 要 求 。 定 期 的 外 部 或 内 部 审计 用 来 检查 是 否 和 

策略 一 致 。 在 审计 时 ,安全 应 和 系统 管理 一 起 工作 以 检查 系统 的 一 致 。 可 以 用 自动 的 工 
具 , 也 可 以 用 手动 进行 。 

4 登录 检查 

来 自 各 种 系统 的 登录 应 定期 检查 。 可 以 和 安全 员 一 起 以 自动 方式 检查 这 些 登 录 。 

如 采用 自动 工具 ,程序 应 规定 工具 的 配置 以 及 希望 它 如 何 处 理 。 如 采用 手动 方式 , 程 
序 应 规定 多 长 间隔 检查 登录 文件 以 及 事件 类 型 等 。 


5 常规 监控 
一 个 组 织 应 该 有 一 个 程序 归档 说 明 何 时 网 络 通信 监控 发 生 。 有 些 组 织 可 能 选择 连续 
执行 这 种 类 型 的 监控 ,有 些 则 选择 随机 监控 。 无 论 如 何 , 总 应 进行 监控 , 且 归 档 。 


328 事故 响应 程序 


当 计 算 机 事故 发 生 时 ,事故 响应 程序 确定 该 组 织 将 如 何 作出 反应 。 根 据 事故 的 不 同 ， 
tte tn pet ete heer tte he 后 者 将 留 给 处 理 
事故 的 人 决定 。 


1 事故 处 理 目标 

当 处 理事 故 时 ,事故 响应 程序 应 确定 该 组 织 的 目标 ,包括 保护 组 织 的 系统 、 保 护 组 织 
的 信息 ,恢复 运行 .起诉 秘 事 者 减少 坏 的 宣传 等 。 

这 些 目标 不 是 唯一 的 ,可 以 有 多 个 目标 。 关 键 是 要 在 事故 发 生前 确定 组 织 的 目标 。 


2 事件 识别 
识别 一 个 事故 或 许 是 事故 响应 中 最 困难 的 一 部 分 。 某 些 事故 是 显而易见 的 ,如 Web 
站 点 的 外 貌 被 损坏 。 有 些 事故 可 能 是 由 于 入 侵 攻 击 或 用 户 的 误 操 作 , 如 数据 文件 的 丢失 。 
在 公布 事故 以 前 ,应 由 系统 管理 员 做 某 些 检查 ,以 决定 事故 是 否 确 实 发 生 了 。 这 部 分 
序 能 确定 某 些 事件 是 显而易见 的 事故 。 而 某 些 不 是 显而易见 的 事故 ,管理 员 应 确定 检 
查 的 步骤 。 
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在 得 到 决定 事故 的 更 多 信息 后 ,应 组 织 一 个 事故 响应 组 ,应 包括 以 下 部 门 : 安全 、 系 
统管 理 、 法 律 、 人 力 资源 、 公 共 关 系 等 。 

3 信息 控制 

在 发 布 事 故 消息 时 ,组 织 要 控制 应 发 布什 么 样 的 信息 。 有 多 少 信息 需 发 布 取决 于 该 
事故 对 组 织 及 其 客户 的 影响 程度 。 信 息 发 布 的 方式 、 方 法 也 应 考虑 对 组 织 的 正面 效应 。 


4 响应 

一 个 组 织 对 事故 流 的 响应 直接 取决 于 事故 响应 程序 的 目标 。 例 如 ,保护 系统 和 信息 
是 目标 ,那么 将 系统 从 网 络 中 移 走 ,并 进行 必要 的 修复 。 另 一 种 情况 可 能 是 保持 系统 在 网 
上 的 在 线 状态 以 及 继续 服务 或 允许 入 侵 者 再 回来 ,这 样 可 对 入 侵 者 跟踪 并 设置 陷阱 。 


5 授权 

事故 响应 的 一 个 重要 部 分 是 决定 事故 响应 组 的 负责 人 ,授权 采取 行动 ,包括 确定 系统 
we a 通常 选择 一 个 组 织 的 官员 来 担任 ， 
在 事故 响应 程序 开发 时 就 要 确定 负责 人 ,而 不 是 事故 发 生 时 决定 。 


6 文档 

事故 响应 程序 应 该 规定 事故 响应 组 建立 其 行动 档案 。 有 两 个 好 处 ,其 一 是 有 助 于 事 
故 过 后 了 解 所 发 生 的 事件 全 过 程 ;其 二 是 如 果 要 起 诉 , 则 有 助 于 法 律 实施 ,对 事故 响应 组 
也 可 作为 一 本 参考 手册 ,有 助 于 他 们 处 理事 故 。 


7. 程序 的 测试 

事故 响应 是 很 实际 的 ,不 能 期 望 第 一 次 使 用 事故 响应 程序 ,每 一 件 事 都 很 完美 。 因 
此 , 当 开 发 完事 故 响 应 程序 后 ,应 广泛 征求 意见 , 找 出 其 不 足 之 处 并 改进 。 

事故 响应 程序 还 需 在 现实 世界 中 测试 ,可 以 做 一 些 模拟 攻击 ,并 观察 其 响应 效果 。 这 
些 测试 可 事先 公布 ,也 可 不 公布 。 


329 配置 管理 程序 


配置 管理 程序 规定 修改 组 织 的 计算 机 系统 状态 的 步骤。 该 程序 的 目的 是 确定 合适 
的 变化 不 会 对 安全 事故 的 识别 产生 不 好 的 影响 。 因 此 ,新 的 配置 要 从 安全 的 角度 予以 
检查 。 


1 系统 的 初始 状态 
对 于 一 个 新 的 系统 , 它 的 状态 应 有 文档 ,包括 操作 系统 及 其 版本、 补丁 水 平 .应 用 程序 
及 其 版 本 。 


2 变更 的 控制 程序 

当 系 统 变更 时 ,应 执行 配置 控制 程序 。 该 程序 应 在 变更 实施 前 对 计划 的 变更 进行 测 
试 。 当 提出 变更 请 求 时 ,应 将 变更 前 后 的 程序 存档 。 在 变更 以 后 ,应 更 新 系统 配置 以 反映 
系统 的 新 的 状态 。 
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3210 设计 方法 

对 生成 新 系统 或 能 力 的 项 目 应 有 一 个 设计 方法 ,以 提供 该 组 织 生 成 新 的 系统 的 步骤 。 
在 设计 之 初 就 要 考虑 和 安全 有 关 的 问题 ,使 最 后 完成 的 系统 能 和 安全 策略 相 一 致 。 设 计 
过 程 中 ,与 安全 相关 的 步骤 如 下 : 

(1) 需求 定义 

在 任何 一 个 项 目的 需求 定义 阶段 ,应 将 安全 需求 列 人 。 设 计 方 法 应 指出 组 织 的 安全 
策略 和 信息 策略 的 要 求 。 特 别 是 要 确定 敏感 信息 和 关键 信息 的 要 求 。 

(2) 设计 

在 项 目的 设计 阶段 ,设计 方法 应 确保 项 目 是 安全 的 。 安 全 人 员 应 成 为 设计 组 成 员 或 
作为 项 目 设计 审查 人 员 。 在 设计 中 对 不 能 满足 安全 要 求 之 处 应 特别 指出 ,并 予以 妥善 
解决 。 

(3) 测试 

当 项 目 进 入 测试 阶段 ,应 同时 进行 安全 测试 。 安 全 人 员 应 协助 编写 测试 计划 。 安 全 
要 求 有 可 能 难以 测试 ,例如 ,难以 测试 以 确定 人 侵 者 不 可 能 看 到 敏感 信息 。 

(4) 实施 

项 目 实施 阶段 同样 有 安全 要 求 。 实 施 组 应 使 用 合适 的 配置 管理 程序 。 在 新 系统 成 为 
产品 以 前 ,安全 人 员 应 检查 系统 的 漏洞 和 合适 的 安全 策略 规则 。 


3211 灾难 恢复 计划 


每 个 组 织 都 应 有 一 个 灾难 恢复 计划 。 然 而 ,很 多 组 织 却 没有 ,因为 他 们 认为 灾难 恢复 
计划 要 花 很 多 钱 ,需要 建立 一 个 热 备 站 ,配置 场地 和 必要 的 设备 ,以 便 随 时 接替 运行 。 事 
实 上 ,灾难 恢复 计划 并 不 一 定 需要 这 样 的 热 备 站 ,可 以 是 很 简单 的 一 些 措施 。 只 有 当 很 多 
其 至 全 部 计算 机 系统 不 可 用 ,要 决定 该 组 织 如 何 继续 运行 时 , 才 会 比较 复杂 。 

一 个 恰当 的 灾难 恢复 计划 应 考虑 各 种 故障 的 级 别 : 单个 系统 ,数据 中 心 整个 系统 。 


1 单个 系统 或 设备 故障 

单个 系统 或 设备 故障 包括 盘 、 主 板 、 网 络 接口 卡 、 元 件 的 故障 。 作 为 灾难 恢复 计划 的 
一 部 分 ,应 该 检查 组 织 的 环境 以 识别 任何 单个 系统 或 设备 故障 的 影响 。 对 每 个 故障 ,应 在 
可 允许 的 时 间 内 修复 并 恢复 运行 。“ 可 允许 的 时 间 ” 是 根据 对 系统 的 关键 程度 以 及 解决 方 
案 所 花 的 费用 而 定 。 

不 论 什 么 样 的 解决 方案 ,灾难 恢复 计划 必须 能 修复 故障 ,使 系统 继续 运行 。 灾 难 恢复 
计划 必须 和 组 织 的 运行 部 门 结合 ,使 他 们 知道 应 采取 什么 步骤 恢复 系统 运行 。 


2 数据 中 心事 件 
灾难 恢复 计划 还 为 数据 中 心 的 主要 事件 提供 一 个 程序 。 例 如 ,发生 火灾 ,数据 中 心 不 
能 使 用 ,应 采取 什么 步骤 重新 恢复 其 能 力 。 其 中 必须 解决 的 一 个 问题 是 有 可 能 丢失 设备 ， 
灾难 恢复 计划 应 包括 如 何 得 到 备用 的 设备 。 
假如 数据 中 心 不 能 用 了 ,但 仍 有 一 些 设备 完好 ,灾难 恢复 计划 应 考虑 如 何 添加 新 的 设 
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备 以 及 如 何 重 建 通信 线路 。 热 备 站 是 一 种 解决 方案 ,但 费 钱 。 如 果 没 有 热 备 站 ,灾难 恢复 
计划 应 确定 其 他 可 能 的 场地 ,重新 建造 计算 机 系统 。 


3 场地 破坏 事件 

场地 破坏 事件 是 灾难 恢复 计划 通常 需要 考虑 的 一 类 事件 。 虽然 这 类 事件 发 生 的 概率 
较 小 ,但 对 一 个 组 织 的 危害 极 大 。 对 每 类 事件 ,组 织 的 每 个 部 门 都 应 参与 。 第 一 步 是 识别 
必须 重建 的 关键 能 力 ,以 使 该 组 织 继续 生存 。 如 果 是 一 个 电子 商务 站 点 , 则 最 关键 的 系统 
可 能 是 计算 机 系统 和 网 络 。 如 果 是 生产 产品 的 工厂 , 则 制造 部 门 是 关键 , 它 的 优先 度 高 于 
计算 机 系统 。 


4 灾难 恢复 计划 的 测试 

灾难 恢复 计划 是 一 个 十 分 复杂 的 文档 ,通常 不 是 一 次 写成 就 立即 成 功 ,因此 需要 测 
试 。 测 试 的 必要 性 不 仅 在 于 检验 其 正确 性 ,而 且 在 于 检查 其 是 否 处 于 备用 状态 。 

灾难 恢复 计划 的 测试 可 能 十 分 昂贵 且 有 破坏 作用 。 所 以 一 个 组 织 通常 指定 一 些 关 键 
员工 定期 地 对 灾难 恢复 计划 进行 巡视 ,而 且 每 年 进行 一 次 全 面 的 测试 。 


3.3 安全 策略 的 生成 、 部 署 和 有 效 使 用 


331 安全 策略 的 生成 
安全 策略 的 生成 分 成 以 下 几 步 。 


1 确定 重要 的 策略 

对 一 个 组 织 而 言 ,并 非 需要 所 有 有 关 安 全 的 策略 ,而 应 确定 哪些 安全 策略 对 该 组 织 是 
重要 的 。 这 取决 于 该 组 织 的 业务 性 质 ,例如 ,一 个 组 织 需要 通过 Internet 
灾难 恢复 计划 比 计算 机 使 用 策略 更 重要 。 

安全 人 员 应 该 识别 什么 是 最 重要 的 安全 策略 ,并 与 系统 管理 员 、 人 力 资源 部 门 ,咨询 
办 公 室 协作 ,以 确定 哪些 策略 是 最 重要 的 。 


2 确定 可 接受 的 行为 

某 些 员工 的 行为 是 可 接受 的 , 某 些 却 是 不 可 接受 的 ,这 取决 于 该 组 织 的 文化 。 例 如 ， 
某 此 组 织 多 许 所 有 员工 在 Internet 上 冲浪 ,而 没有 任何 限制 。 组 织 的 文化 便 员 工 及 管理 
者 相信 这 样 做 能 很 好 完成 他 们 的 任务 。 而 另 一 个 组 织 却 对 员工 访问 Internet 有 严格 的 限 
制 ,甚至 限制 从 某 些 不 可 接受 的 Web 站 点 下 载 软件 。 

这 两 个 组 织 的 策略 完全 不 同 。 事 实 上 ,第 一 个 组 织 决 定 根 本 无 须 实施 Internet 使 用 
策略 。 对 安全 专业 人 员 来 说 应 该 知道 不 是 所 有 策略 对 所 有 组 织 都 是 适用 的 。 安 全 专业 人 
员 在 为 一 个 组 织 草 拟 安全 策略 以 前 应 花 一 些 时 间 去 了 解 该 组 织 的 文化 以 及 员工 的 期 望 。 

3 征求 建议 

闭 门 生成 安全 策略 是 很 少 能 成 功 的 。 安 全 专业 人 员 在 制定 策略 时 应 寻求 组 织 的 其 他 
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部 门 的 帮助 。 应 该 征求 组 织 的 总 顾问 以 及 人 力 资源 部 门 的 建议 ,此 外 ,系统 管理 员 、 计 算 
机 系统 用 户 以 及 物理 安全 部 门 的 建议 也 是 重要 的 。 

一 般 来 讲 , 凡 是 与 实施 策略 有 影响 的 人 都 应 参与 策略 的 制定 过 程 ,这 样 他 们 将 了 解 什 
么 是 所 期 望 的 。 


4 策略 的 开发 

首先 拟 出 一 个 好 的 纲要 ,可 以 参考 一 些 手册 ,如 RFC 2196 场地 安全 手册 提供 了 各 种 
策略 的 纲要 。 

根据 纲要 逐 节 草 拟 策略 文档 。 在 草拟 过 程 中 ,还 要 不 断 听取 上 述 有 关 人 员 的 意见 和 
建议 。 

在 策略 文档 完成 后 ,提交 管理 部 门 批准 和 实施 。 

332 安全 策略 的 部 署 


安全 策略 的 生成 相对 来 说 较 容易 ,因为 只 需 组 织 少 部 分 人 介入 。 但 要 有 效 地 部 署 和 
实施 ,需要 全 体 人 员 介 入 。 

1 贯彻 

安全 策略 对 每 个 部 门 都 有 影响 ,必须 在 各 部 门 贯彻 。 由 于 在 策略 生成 时 ,已 征 得 各 部 
门 管理 者 的 意见 。 这 些 管 理 者 的 介入 大 大 有 助 于 安全 策略 在 各 个 部 门 的 贯彻 。 这 远 比 最 
高 层 领导 强调 安全 策略 的 重要 性 、 强 调 应 予以 贯彻 更 有 效 。 


2 培训 教育 

因为 安全 策略 对 组 织 的 全 体 员工 都 有 影响 ,所 以 安全 专业 人 员 必 须 负 责 对 员工 进行 
安全 教育 ,人 力 资 源 部 门 和 培训 部 门 要 协助 进行 。 特 别 重要 的 是 , 当 某 些 安全 策略 改变 时 
会 影响 到 全 体 员工 ,例如 ,如 需 更 改口 令 ,必须 事先 告知 全 体 员 工 , 和 否则 会 造成 一 时 混乱 。 
有 时 这 种 更 改 采 用 平滑 过 渡 的 方法 更 合适 

3 执行 

有 时 安全 环境 的 突然 改变 会 产生 相反 的 效果 ,所 以 采取 很 好 的 计划 和 平滑 过 渡 会 更 
好 。 安 全 工作 要 与 系统 管理 部 门 和 其 他 有 影响 的 部 门 密切 配合 ,使 执行 更 有 效 。 


333 安全 策略 的 有 效 使 用 


1 新 的 系统 及 项 目 

一 个 新 的 系统 及 项 目 启 动 时 ,就 应 同时 进行 安全 策略 的 程序 设计 。 也 就 是 说 ,将 安全 
作为 新 系统 和 项 目的 设计 的 组 成 部 分 ,使 得 安全 要 求 在 设计 之 初 就 能 被 识别 和 实施 。 

如 果 新 系统 不 能 满足 安全 要 求 ,该 组 织 就 要 知道 存在 的 风险 ,并 提供 某 些 机 制 来 管理 
存在 的 风险 。 

2 已 有 的 系统 及 项 目 

当 一 个 新 的 安全 策略 被 批准 后 ,应 该 检查 每 个 已 有 的 系统 ,看 其 是 否 和 新 的 安全 策略 
相符 合 。 如 果 不 符合 ,确定 是 否 可 采取 措施 来 遵守 新 的 策略 。 应 该 和 系统 管理 员 以 及 使 
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用 该 系统 的 部 门 一 起 工作 ,使 安全 作 相 应 的 变更 。 这 可 能 需要 做 一 些 开发 工作 ,不 能 立即 
改变 ,会 有 一 定 的 延迟 。 应 在 经 费 和 系统 设计 限制 条 件 下 ,和 系统 管理 员 及 有 关 部 门 密切 
配合 ,及 时 地 完成 变更 。 

3 审计 

很 多 组 织 内 部 的 审计 部 门 ,定期 地 审计 系统 看 其 是 否 遵守 安全 策略 。 安 全 部 门 应 及 
时 将 新 的 安全 策略 通知 给 审计 部 门 ,并 配合 他 们 工作 ,使 他 们 在 审计 时 了 解 这 些 变更 。 一 
般 来 说 ,这 个 变更 应 是 双向 的 。 安 全 部 门 应 向 审计 部 门 解释 安全 策略 如 何 开发 以 及 期 望 
达到 什么 样 的 目标 ;审计 部 门 应 向 安全 部 门 解释 审计 如 何 进 行 以 及 审计 的 目标 。 他 们 之 
间 应 有 某 种 约定 ,一 种 类 型 的 系统 应 考虑 相应 类 型 的 安全 策略 。 


4 安全 策略 的 审查 

即使 是 一 个 好 的 安全 策略 也 不 是 一 劳 永 逸 的 。 应 定期 对 每 个 策略 进行 审查 ,看 其 是 
否 仍 然 适 合 于 该 组 织 。 应 对 大 部 分 策略 每 年 审查 一 次 。 对 某 些 程序 ,如 事故 响应 程序 或 
灾难 恢复 计划 ,可 能 需要 更 加 频繁 的 审查 。 

在 审查 时 ,应 和 所 有 和 安全 有 关 的 部 门 接触 ,听取 他 们 对 现 有 的 安全 策略 的 意见 和 建 
议 。 对 重要 的 问题 还 可 召开 专门 的 调研 会 。 在 此 基础 上 调整 安全 策略 .申报 批准 、 开 始 培 
训 、 贯 彻 实施 。 
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网 络 安全 策略 执行 两 个 主要 任务 ,其 一 是 确定 在 一 个 组 织 内 实施 什么 样 的 安全 ;其 二 
是 让 组 织 内 的 员工 行动 一 致 ,懂得 需要 什么 样 的 安全 。 

信息 策略 定义 一 个 组 织 内 的 敏感 信息 以 及 如 何 保护 敏感 信息 。 包 括 敏感 信息 识别 、 
信息 分 类 、 敏 感 信息 标记 、 敏 感 信息 存储 、 敏 感 信息 传输 以 及 敏感 信息 销毁 。 

系统 和 网 络 安全 策略 规定 计算 机 系统 和 网 络 设备 安全 的 技术 要 求 ,规定 系统 或 网 络 
管理 员 应 如 何 配置 和 安全 相关 的 系统 。 系 统 和 网 络 管理 员 应 对 安全 策略 的 实施 负 主 要 责 
任 。 安 全 策略 应 包括 用 户 身份 及 身份 鉴别 .访问 控制 .审计 .网络 连接 .恶意 码 防 止 . 加 
计算 机 用 户 策略 规定 了 谁 可 以 使 用 计算 机 系统 以 及 使 用 计算 机 系统 的 规则 。 包 括 计 
算 机 所 有 权 、 信 息 所 有 权 、 计 算 机 使 用 许可 以 及 没有 隐私 的 要 求 。 

Internet 使 用 策略 规定 了 如 何 合理 地 使 用 Internet, 确 定 哪些 是 Internet 的 非 正 当 
使 用 。 

为 了 切实 执行 各 种 安全 策略 ,还 需 开 发 各 种 管理 程序 ,包括 用 户 管理 程序 .系统 管理 
程序 .事故 响应 程序 .配置 管理 程序 .设计 方法 ,以 及 灾难 恢复 计划 。 

要 生成 安全 策略 ,需要 确定 什么 是 重要 的 策略 ,什么 是 员工 可 接受 的 行为 ,经 过 调研 
最 后 完成 。 安 全 策略 的 部 署 需要 全 体 员工 介入 ,通过 宣讲 .培训 直到 执行 。 安 全 策略 的 有 
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效 使 用 需要 将 安全 策略 和 系统 设计 同步 进行 ,还 需要 定期 审计 和 审查 。 


习 题 


. 什么 是 网 络 安全 策略 执行 的 主要 任务 ? 

.网 络 安全 策略 应 包含 哪些 内 容 ? 

. 什么 是 信息 策略 的 目的 和 内 容 ? 

.什么 是 计算 机 系统 和 网 络 安全 策略 的 目的 和 内 容 ? 
. 什么 是 计算 机 用 户 策略 的 目的 和 内 容 ? 

什么 是 Internet 使 用 策略 的 目的 和 内 容 ? 

. 什么 是 系统 管理 程序 的 作用 和 内 容 ? 

.什么 是 事故 响应 程序 的 作用 和 内 容 ? 

. 什么 是 灾难 恢复 计划 的 必要 性 及 其 内 容 ? 

10. 如 何 生 成 .部 署 和 有 效 使 用 网 络 安 全 策略 ? 
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网 络 信息 安全 服务 


本 章 要 点 : 
。 针对 不 同 攻击 需要 的 基本 安全 服务 ; 
。 机 密 性 服务 的 类 型 及 相应 的 机 制 ; 
。 完整 性 服务 的 类 型 及 相应 的 机 制 ; 
。 可 用 性 服务 的 类 型 ; 
。 可 审 性 服务 的 基本 功能 ， 
。 身份 鉴别 的 方法 以 及 在 网 络 环境 下 的 身份 鉴别 ; 
。 数字 签名 原理 ; 
Kerberos 鉴别 工作 原理 ; 
。 公 钥 基础 设施 结构 ; 
。 访问 控制 基本 原理 。 
为 了 维护 信息 自身 的 安全 就 要 抵抗 对 信息 的 安全 威胁 。 本 章 讲述 用 以 对 抗 攻击 的 
4 个 基本 安全 服务 : 机 密 性 服务 .完整 性 服务 .可 用 性 服务 以 及 可 审 性 服务 。 表 4-1 列 出 
了 针对 不 同 攻击 需要 的 安全 服务 。 


表 4-1 针对 不 同 攻击 需要 的 安全 服务 


安全 服务 _ 

呈 放 机 密 性 完整 性 可 用 性 可 审 性 

访问 攻击 尖 

算 改 攻击 区 

拒绝 服务 小 

否 认 x x 

用 于 一 个 组 织 内 的 特定 的 信息 安全 服务 取决 于 相应 的 风险 评估 及 安全 计划 。 然 而 ， 
清楚 地 知道 一 个 组 织 的 基本 安全 需求 ,对 于 更 好 地 了 解 如 何 针对 专门 类 型 的 攻击 实施 安 


全 服务 是 很 重要 的 。 


4.1 机 密 性 服务 


机 密 性 服务 提供 信息 的 保密 。 正 确 地 使 用 该 服务 ,就 可 防止 非 授权 用 户 访问 信息 。 
为 了 正确 地 实施 该 服务 ,机密 性 服务 必须 和 可 审 性 服务 配合 工作 ,后 者 用 来 标识 各 个 访问 
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者 的 身份 ,实施 该 功能 ,机 密 性 服务 能 对 抗 访问 攻击 。 机 密 性 服务 应 考虑 信息 所 在 的 形式 
和 状态 ,比如 ,是 物理 形式 的 纸 面 文件 .电子 形式 的 电子 文件 ,还 是 在 传输 中 的 文件 。 


411 文件 机 密 性 


文件 的 存在 形式 不 同 , 文 件 的 机 密 性 服务 的 方式 也 相应 不 同 。 

对 纸 面 文件 ,主要 是 存放 这 类 文件 的 物理 位 置 必须 是 可 控 的 ,通过 物理 位 置 的 访问 控 
制 来 保护 文件 的 机 密 性 。 

对 电子 文件 ,有 几 种 情况 。 首 先 文件 可 能 同时 存放 在 不 同位 置 , 如 后 备 磁带 、 多 个 计 
算 机 系统 .软盘 或 CD 等 。 其 次 对 电子 文件 的 保护 有 些 也 需要 物理 位 置 的 访问 控制 ,如 同 
保护 纸 面 文件 一 样 , 例 如 ,对 磁带 、 磁 盘 需 要 物理 访问 控制 。 对 于 存放 在 计算 机 系统 中 的 
电子 文件 , 则 需要 某 些 类 型 的 计算 机 访问 控制 ,也 可 能 包括 文件 的 加 密 。 计 算 机 访问 控制 
要 依靠 合适 的 身份 标识 和 身份 鉴别 (一 种 可 审 性 服务 ) 以 及 正确 的 系统 配置 ,这 样 可 防止 
非 授 权 用 户 旁 路 身份 标识 和 身份 鉴别 功能 而 成 为 合法 用 户 。 

为 实现 文件 机 密 性 服务 ,所 需 提 供 的 机 制 包括 物理 安全 机 制 . 计 算 机 文件 访问 控制 以 
及 文件 加 密 。 文 件 机 密 性 的 要 求 包括 身份 标识 和 身份 鉴别 、 正 确 的 计算 机 系统 配置 ,如 使 
用 加 密 则 还 需 合 适 的 密 钥 管理 。 


412 信息 传输 机 密 性 


仅仅 保护 存储 在 文件 中 的 信息 是 远 远 不 够 的 。 信 息 有 可 能 在 传输 过 程 中 受到 攻击 ， 
因此 必须 同时 保护 在 传输 中 的 信息 机 密 性 ,图 4-1 表示 使 用 加 密 来 完成 信息 传输 的 机 
密 性 。 

可 基于 每 个 报 文 信息 进行 加 密 保 护 , 也 可 以 对 链 路 上 的 所 有 通信 进行 加 密 。 加 密 能 
阻止 窃听 ,但 不 能 完全 阻止 信息 的 截获 。 为 了 防止 信息 被 截获 .需要 合适 的 身份 标识 和 身 
份 鉴别 , 它 可 决定 远程 端点 的 身份 ,如 图 4-2 所 示 。 


413 通信 流 机 密 性 


不 同 于 上 面 所 述 的 机 密 性 服务 ,通信 流 的 机 密 性 并 不 关心 正在 传输 或 存储 的 信息 本 
身 的 内 容 。 它 主要 关心 两 个 端点 之 间 所 发 生 的 通信 和 形式。 这些 信息 形式 通过 通信 分 析 可 
识别 组 织 之 间 的 通信 情况 。 例 如 ,很 多 新 闻 机 构 发 现 某 一 时 刻 有 大 量 的 快餐 送 至 政府 某 
重要 机 关 , 则 可 推测 某 些 紧 急事 件 甚至 是 危机 可 能 发 生 。 

在 大 量 通 信 流 的 两 个 端点 之 间 加 入 模糊 (遮掩 ) 信 息 流 可 提供 通信 流 机 密 性 服务 。 例 
如 ,在 军队 中 ,不 论 何 时 需要 传送 多 少 报 文 ,都 应 设法 使 两 个 场地 之 间 的 通信 流 始 终 保护 
不 变 。 这 是 可 以 做 到 的 , 当 实 际 通 信 流 小 的 时 候 , 可 以 人 为 地 加 入 填充 通信 。 这 样 实际 的 
通信 流 变化 就 无 法 被 测定 。 

上 面 分 析 的 3 种 机 密 性 都 可 阻止 访问 攻击 ,然而 仅仅 依靠 机 密 性 服务 并 不 能 完全 解 
决 问题 。 机 密 性 服务 必须 与 可 审 性 服务 一 起 对 企图 访问 信息 的 每 个 成 员 建 立身 份 标 识 ， 
两 种 服务 结合 起 来 可 减少 非 授权 访问 的 风险 。 
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从 桌面 机 到 主机 的 加 密 | 全 
通信 在 局 域 网 上 传输 
i 
攻击 者 不 能 听 到 会 话 ， 因 为 通信 
已 加 密 ， 密 钥 也 受到 保护 
桌面 计算 机 


图 4-1 使 用 加 密 保 护 传输 中 的 信息 


攻击 者 伪装 主机 ， 企 图 截取 会 
话 ， 然 而 ， 攻 击 者 不 能 提供 正 
确 的 鉴别 ， 因 而 企图 失败 


攻击 者 计算 机 


从 桌面 机 到 主机 的 加 密 
通信 在 局 域 网 上 传输 


桌面 计算 机 


主机 


4-2 加 密 和 身份 标识 .身份 鉴别 的 结合 


加 | : 完整 性 服务 


完整 性 服务 提供 信息 的 正确 性 。 正 确 地 使 用 完整 性 服务 ,就 可 使 用 户 确信 信息 是 正 
确 的 ,未 经 非 授权 者 修改 过 。 如 同 机 密 性 服务 一 样 ,该 服务 必须 和 可 审 性 服务 配合 工作 。 
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完整 性 服务 能 对 抗 自 改 攻击 。 完 整 性 服务 同样 应 考虑 信息 所 在 的 形式 和 状态 。 


421 文件 完整 性 


文件 的 存在 形式 不 同 , 文 件 的 完整 性 服务 方式 也 相应 不 同 。 一 般 来 说 , 纸 面 文件 的 完 
整 性 较 易 识 别 ,而 纸 面 文件 的 修改 要 通过 检查 ,修改 者 需要 掌握 一 定 技巧 。 而 对 于 电子 文 
件 只 要 能 访问 它 , 任 何人 都 能 方便 地 对 其 进行 修改 。 

为 了 防止 修改 纸 面 文件 ,可 采用 多 种 方法 ,包括 在 每 一 页 上 签名 ,装订 成 册 、 分 发 多 个 
文件 复制 本 等 。 这 些 完 整 性 机 制 使 修改 变 得 十 分 困难 ,因为 仿造 签名 技术 .增加 或 删除 装 
订 成 册 的 文件 以 及 对 一 个 文件 的 多 个 复制 本 同时 进行 修改 都 有 很 大 难度 。 另 一 种 方法 是 
使 用 与 机 密 性 服务 相同 的 机 制 ,完全 阻止 非 授权 者 访问 文件 。 

对 电子 文件 进行 修改 比较 容易 ,使 用 字 处 理工 具 进行 。 保 护 电子 信息 完整 性 的 最 基 
本 的 方法 是 采用 与 保护 信息 机 密 性 一 样 的 方法 , 即 计算 机 文件 访问 控制 。 然 而 不 同 的 是 ， 
并 不 要 求 将 访问 控制 机 制 配置 成 完全 拒绝 访问 ,而 只 需 配 置 成 只 允许 读 文件 ,不 允许 写 文 
件 。 如 同 机 密 性 服务 ,十 分 重要 的 是 必须 正确 识别 那些 企图 修改 文件 的 访问 者 。 这 只 有 
通过 身份 标识 和 身份 鉴别 来 实现 。 

假如 文件 驻 留 在 单个 计算 机 系统 或 者 组 织 控制 的 网 络 中 ,对 其 进行 计算 机 文件 访问 
控制 能 达到 很 好 的 效果 。 如 果 需 要 将 文件 复制 到 其 他 部 门 或 单位 ,那么 只 在 单个 计算 机 
或 可 控 网 络 上 进行 计算 机 文件 访问 控制 就 不 足以 提供 充分 的 保护 。 因 此 需要 有 一 种 机 制 
来 识别 非 授 权 者 对 文件 的 改变 。 一 种 有 效 的 机 制 就 是 数字 签名 , 它 必须 与 特定 用 户 的 识 
别 一 起 工作 。 因 此 ,完整 性 服务 也 必须 和 身份 标识 、 身 份 鉴别 功能 结合 在 一 起 。 


422 信息 传输 完整 性 


信息 在 传输 中 也 可 能 被 修改 ,然而 如 果 不 实施 截获 攻击 就 很 难 对 传输 中 的 信息 进行 
修改 。 通 常用 加 密 方法 可 阻止 大 部 分 的 算 改 攻击 。 当 加 密 和 身份 标识 、 身 份 鉴别 功能 结 
合 在 一 起 时 ,截获 攻击 便 难以 实现 ,如 图 4-2 所 示 。 

由 上 述 分 析 可 知 ,完整 性 服务 可 成 功 地 阻止 自 改 攻击 和 和 否认 攻击 。 任 何 自 改 攻击 都 
可 能 改变 文件 或 传输 中 的 信息 , 当 完 整 性 服务 能 检测 到 非 授权 者 的 访问 , 算 改 攻击 就 不 能 
成 功 进行 。 当 完整 性 服务 和 身份 标识 、 身 份 鉴别 服务 很 好 地 结合 ,即使 组 织 以 外 的 文件 被 
改变 也 能 被 检测 出 来 。 

如 果 没 有 好 的 完整 性 服务 以 及 好 的 身份 标识 、 身 份 鉴别 服务 ,那么 否认 攻击 也 不 可 能 
被 成 功 阻 止 。 而 检测 这 种 攻击 的 机 制 是 数字 签名 。 


43 ”可 用 性 服务 


可 用 性 服务 提供 的 信息 是 可 用 的 。 可 用 性 使 合法 用 户 能 访问 计算 机 系统 , 存 取 该 系 

统 上 的 信息 ,运行 各 种 应 用 程序 。 可 用 性 还 提供 两 个 计算 机 系统 之 间 可 用 的 传输 信息 的 
通信 系统 。 当 我 们 谈 及 信息 和 能 力 的 可 用 性 时 ,通常 指 的 是 电子 信息 。 
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431 后 备 


后 备 是 最 简单 的 可 用 性 服务 ,是 指 对 重要 信息 复制 一 份 备份 ,并 将 其 存储 在 安全 的 地 
方 。 后 备 可 以 是 纸 文件 ,如 重要 文本 的 备份 ;也 可 以 是 电子 的 ,如 计算 机 后 备 磁带 。 后 备 
的 作用 是 防止 意外 事件 发 生 或 文件 被 恶意 破坏 造成 的 信息 完全 丢失 。 

用 于 后 备 的 安全 位 置 可 以 是 现场 防火 的 地 方 , 也 可 以 是 远 地 有 物理 安全 措施 的 地 方 。 

通常 后 备 提供 信息 可 用 性 ,并 不 需要 提供 及 时 的 后 备 。 这 意味 着 后 备 可 能 从 远 地 检 
索 到 ,然后 传送 到 现场 ,并 加 载 到 相应 的 系统 。 


432 在 线 恢复 


在 线 恢复 提供 信息 和 能 力 的 重 构 。 不 同 于 后 备 , 带 有 在 线 恢复 配置 的 系统 能 检测 出 
故障 ,并 重建 诸如 处 理 、 信 息 访 问 .通信 等 能 力 。 它 是 通过 使 用 宛 余 硬件 自动 处 理 的 。 

通常 认为 在 线 恢 复 是 一 种 立即 的 重 构 , 且 无 须 进 行 配 置 。 宛 余 系统 也 可 以 在 现场 备 
用 ,以 便 在 原始 系统 发 生 故 障 时 再 投入 使 用 。 这 种 应 用 方式 比 大 部 分 立即 在 线 恢复 系统 
更 便宜 。 


433 灾难 恢复 


灾难 恢复 是 针对 大 的 灾难 来 保护 系统 、 信 息 和 能 力 。 灾 难 恢复 是 当 整 个 系统 或 重要 
的 设备 不 可 用 时 采取 的 重 构 一 个 组 织 的 进程 。 

由 上 述 分 析 可 知 , 可 用 性 是 用 来 对 拒绝 服务 攻击 的 系统 恢复 。 可 用 性 并 不 能 阻止 拒 
绝 服务 攻击 ,但 可 用 性 服务 可 用 来 减少 这 类 攻击 的 影响 ,并 使 系统 得 以 在 线 恢复 、 正 常 


运行 。 


7 可 审 性 服务 


可 审 性 服务 本 身 并 不 能 针对 攻击 提供 保护 ,因此 容易 被 人 们 玻 忽 。 可 审 性 服务 必须 
和 其 他 安全 服务 结合 ,从 而 使 这 些 服务 更 加 有 效 。 可 审 性 服务 会 增加 系统 的 复杂 性 ,降低 
系统 的 使 用 能 力 。 然 而 ,如 果 没 有 可 审 性 服务 ,机密 性 服务 与 完整 性 服务 也 会 失效 。 


441 身份 标识 与 身份 鉴别 


身份 标识 与 身份 鉴别 有 两 个 目的 : 其 一 是 对 试图 执行 一 个 功能 的 每 个 人 的 身份 进行 
标识 ;其 二 是 验证 这 些 人 声称 的 身份 。 身 份 鉴别 可 使 用 以 下 任何 一 种 或 其 组 合 的 方法 


实现 ， 
GD) 知识 因子 一 一 你 知道 什么 ,如 口令 或 PIN( 个 人 身份 标识 号 )。 
(2) 拥有 因子 一 一 你 有 什么 ,如 智能 卡 或 标记 。 
(3) 生物 因子 一 你 是 什么 ,如 指 印 、 视 网 膜 。 


组 合 使 用 上 面 的 方法 会 更 有 效 , 如 将 口令 和 智能 卡 结合 使 用 ,通常 称 为 双 因 子 身 份 鉴 
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别 。 因 为 每 一 种 身份 鉴别 方法 本 身 有 它 自 身 的 弱点 ,采用 双 因 子 鉴 别 可 互相 取长补短 , 因 
而 更 有 效 。 例 如 ,口令 易于 被 猜测 ,而 智能 卡 又 易于 被 偷 。 生 物 因子 身份 鉴别 难以 伪造 ， 
但 一 定 要 将 其 指 印 放 在 指 印 扫描 器 中 。 

在 物理 世界 ,身份 鉴别 可 以 用 带 相片 的 ID 卡 出 示 给 门 警 。 指 纹 扫 描 器 也 经 常用 来 对 
进入 某 些 特 定 区 域 者 作 身份 鉴别 。 这 些 身份 鉴别 机 制 将 物理 现场 与 每 个 人 的 身份 标识 直 
接 联 系 起 来 。 

在 电子 世界 ,物理 身份 鉴别 机 制 并 不 适用 。 传 统 的 用 于 计算 机 的 身份 鉴别 机 制 是 口 
令 。 身 份 标识 是 通过 系统 管理 员 设置 的 用 户 ID 联系 起 来 。 系 统管 理 员 用 某 种 方法 来 证 
明正 在 被 鉴别 的 用 户 身份 就 是 接收 用 户 ID 的 个 体 。 但 是 口令 是 单 因子 身份 鉴别 ,有 较 大 
弱点 。 这 就 是 为 什么 提倡 在 计算 机 系统 中 采用 双 因子 身份 鉴别 , 它 提供 更 强 的 身份 鉴别 
机 制 。 

身份 标识 与 身份 鉴别 也 有 助 于 计算 机 文件 访问 控制 ,以 提供 计算 机 系统 电子 文件 的 
机 密 性 和 完整 性 。 它 对 加 密 和 数字 签名 也 是 重要 的 。 然 而 ,身份 标识 与 身份 鉴别 必须 要 
传 给 远程 用 户 。 远 程 用 户 要 对 本 地 机 制 证 明 它 的 身份 标识 。 图 4-3 表示 当 发 送 一 个 报 文 
时 如 何 使 用 数字 签名 。 用 户 首先 对 保护 签名 的 本 地 机 器 作 身 份 鉴别 ,然后 本 地 机 器 允许 
使 用 签名 机 制 ,并 发 送 已 进行 身份 鉴别 的 报 文 。 接 收 到 该 报 文 的 用 户 使 用 数字 签名 以 证 
明 该 报 文 的 发 送 者 的 身份 。 


发 送 计算 机 


发 送 者 对 本 地 计算 机 系统 作 鉴别 ， 
本 地 计算 机 允许 使 用 数字 签名 机 制 


签名 后 的 报 文 送 至 接收 系统 


接收 者 能 鉴别 报 文 的 发 送 者 ， 因 为 数 
字 签名 提供 在 发 送 计算 机 鉴别 的 证 明 。 ”后 


图 4-3 用 于 远程 通信 的 身份 标识 与 身份 鉴别 


在 大 多 数 情况 下 ,身份 标识 与 身份 鉴别 机 制 是 一 个 组 织 内 其 他 安全 服务 的 关键 。 如 
果 身 份 标识 与 身份 鉴别 失效 了 ,那么 完整 性 和 机 密 性 也 无 法 保证 。 


442 网 络 环境 下 的 身份 鉴别 


网 络 环境 下 的 身份 鉴别 是 验证 某 个 通信 参与 方 的 身份 是 否 与 他 所 声称 的 身份 一 致 的 
过 程 。 一 般 通 过 某 种 复杂 的 身份 认证 协议 来 实现 。 身 份 认证 协议 是 一 种 特殊 的 通信 协 
议 , 它 定义 了 参与 认证 服务 的 所 有 通信 方 在 身份 认证 过 程 中 需要 交换 的 所 有 消息 的 格式 、 
这 些 消息 发 生 的 次 序 以 及 消息 的 语义 ,通常 采用 密码 学 机 制 (例如 加 密 算 法 ) 来 保证 消息 
的 完整 性 、 保 密 性 。 身 份 认证 是 建立 安全 通信 的 前 提 条 件 , 只 有 通信 双方 相互 确认 对 方 身 

57 


第 1 篇 网 络 安全 基础 知识 PE 


份 后 才能 通过 加 密 等 手段 建立 安全 信道 ,同时 它 也 是 授权 访问 (基于 身份 的 访问 控制 ) 和 
审计 记录 等 服务 的 基础 ,因此 ,身份 认证 在 网 络 安全 中 占据 十 分 重要 的 位 置 。 这 些 协 议 在 
解决 分 布 式 ,尤其 是 开放 环境 ,起 着 很 重要 的 作用 。 其 中 系统 的 组 成 部 分 以 及 连接 它们 的 
网 络 可 以 跨越 地 理 和 组 织 的 界限 。 


1 身份 认证 技术 

下 面 介 绍 两 种 身份 认证 技术 。 

(1) 口令 技术 

口令 技术 是 常用 的 一 种 身份 认证 技术 ,使 用 口令 存在 的 最 大 问题 是 口令 的 泄露 。 口 
令 泄露 可 以 有 多 种 途径 ,例如 ,登录 时 被 他 人 看 见 ;攻击 者 从 计算 机 中 存放 口令 的 文件 中 
读 到 ;口令 被 在 线 攻 击 猜 测 出 ;也 可 能 被 离线 攻击 搜索 到 。 在 线 攻 击 是 指 在 线 状态 下 攻击 
者 对 用 户口 令 进行 的 猜测 攻击 ;离线 攻击 是 指 攻击 者 通过 某 些 手段 进行 任意 多 数量 的 口 
令 猜 测 ,采用 攻击 字典 和 攻击 程序 ,最 终 获得 口令 。 离 线 攻击 方法 是 Internet 上 常用 的 攻 
击 手段 。 

(2) 采用 物理 形式 的 身份 认证 标记 进行 身份 认证 的 鉴别 技术 

常用 的 身份 认证 标记 是 磁卡 和 智能 卡 。 磁 卡 存储 着 关于 用 户 身 份 的 一 些 数据 ,用 户 
通过 读 卡 设备 向 联网 的 认证 服务 器 提供 口令 才能 证 明 自 己 的 身份 。 最 简单 的 智能 卡 称 为 
PIN(Personal Identification Number) 保 护 记忆 卡 ,PIN 是 由 数字 组 成 的 口令 ,只 有 读 卡 
机 将 PIN 输入 智能 卡 后 才能 读 出 卡 中 保存 的 数据 。 这 种 卡 比 磁卡 安全 ,可 以 存放 一 些 秘 
密 信息 。 另 一 种 智能 卡 是 加 密 挑 战 / 响 应 卡 , 卡 中 有 一 个 加 密 密 钥 ,可 使 用 该 密 钥 进行 加 
密 和 解密 ,但 该 密 钥 是 无 法 被 读 出 的 。 这 种 智能 卡通 常 采用 公开 密 钥 算 法 ,存储 的 是 用 户 
的 私 钥 ,可 在 离线 状态 下 进行 认证 。 在 与 计算 机 进行 交互 时 首先 递交 代表 自己 身份 的 公 
钥 证 书 , 计 算 机 验证 证 书 的 签发 者 后 就 获得 了 用 户 的 公 钥 。 

2 身份 认证 协议 

基于 密码 学 原理 的 密码 身份 认证 协议 比 基 于 口令 或 者 地 址 的 认证 更 加 安全 ,而 且 能 
够 提供 更 多 的 安全 服务 。 各 种 密码 学 算法 ,如 私 钥 算法 、 公 钥 算 法 和 哈 希 算法 都 可 以 用 来 
构造 身份 认证 协议 ,它们 各 有 特点 。 可 以 分 为 共享 密 钥 认证 、 公 钥 认 证 和 零 知 识 认 证 等 几 
类 。 计 算 机 可 以 存放 高 质量 的 密 钥 ,进行 复杂 的 加 密 解密 运算 。 计 算 机 可 以 代表 用 户 进 
行 加 密 解 密 操作 ,但 是 需要 用 户 提供 口令 ,将 用 户口 令 经 过 变换 可 以 获得 加 密使 用 的 密 
钥 , 或 者 是 用 口令 来 解密 一 个 存放 在 某 处 的 高 质量 的 密 钥 , 例 如 ,用 PIN 获得 存放 PIN 保 
护 记忆 卡 中 的 高 质量 密 钥 。 

身份 认证 协议 一 般 有 两 个 通信 方 ,可 能 还 会 有 一 个 双方 都 信任 的 第 三 方 参与 进行 。 
其 中 一 个 通信 方 按照 协议 的 规定 向 另 一 方 或 者 第 三 方 发 出 认证 请 求 ,对 方 按照 协议 的 
规定 作出 响应 或 者 其 他 规定 的 动作 , 当 协 议 顺利 执行 完毕 时 双方 应 该 确信 对 方 的 
身份 。 

(1) 会 话 密 钥 

在 很 多 协议 中 ,不 仅 要 求 验证 相互 身份 ,而 且 还 要 建立 后 续 通 信使 用 的 会 话 密 钥 。 会 
话 密 钥 (Session Key) 是 指 在 一 次 会 话 过 程 中 使 用 的 密 钥 .一般 都 是 由 机 器 随机 生成 的 。 
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会 话 密 钥 在 实际 使 用 时 往往 是 在 一 定时 间 内 都 有 效 ,并 不 真正 限制 在 一 次 会 话 过 程 中 。 
虽然 公开 密 钥 系统 也 被 用 于 认证 协议 中 ,但 是 由 于 公 钥 系统 算法 复杂 度 高 ,大 量 数 据 的 加 
密 还 是 采用 传统 密码 ,因此 会 话 密 钥 都 是 传统 密 钥 。 因 为 会 话 密 钥 主要 用 于 通信 加 密 , 因 
此 也 将 它 称 为 通信 密 钥 ,与 用 于 身份 认证 的 认证 密 钥 加 以 区 分 。 会 话 密 钥 能 够 有 效 地 抵 
抗 密码 分 析 攻 击 ; 而 认证 密 钥 不 能 长 时 间 使 用 ,否则 容易 被 攻击 者 搜集 到 足够 的 密 文 数据 
进行 密码 分 析 。 需 要 建立 会 话 密 钥 的 认证 协议 也 被 称 为 密 钥 分 发 协议 。 

(2) 共享 密 钥 认 证 

共享 密 钥 认证 的 思想 是 从 通过 口令 认证 用 户 发 展 来 的 。 传 统 方式 是 检验 对 方 传递 来 
的 口令 是 否 正 确 ,但 是 这 样 口令 容易 在 传递 过 程 中 被 窃听 而 泄露 。 必 须 采 用 既 能 够 验证 
对 方 拥有 共同 的 秘密 又 不 会 在 通信 过 程 中 泄露 该 秘密 的 方法 ,挑战 /响应 技术 可 完成 这 一 
目标 。 

在 网 络 环境 下 ,一 台 计 算 机 可 能 要 与 很 多 台 计 算 机 进行 身份 认证 ,如 果 全 部 采用 挑 
战 /响应 方式 认证 ,那么 就 需要 与 众多 的 计算 机 都 建立 共享 密 钥 。 这 样 做 在 大 型 网 络 环 境 
中 既 不 经 济 也 不 安全 ,同时 大 量 共享 密 钥 的 建立 .维护 和 更 新 将 是 非常 复杂 的 事情 。 

密 钥 分 发 中 心 (Key Distribution Center, KDC) 的 概念 是 Needham 和 Schroeder 在 
1978 年 提出 的 ,KDC 在 网 络 环境 中 为 大 家 所 信任 ,并 且 与 每 个 网 络 通信 方 都 有 一 个 共享 
密 钥 。 网 络 中 每 个 通信 参与 方 都 只 与 KDC 有 共享 密 钥 ,它们 之 间 的 认证 需要 借助 于 可 
信 第 三 方 KDC 才能 完成 。KDC 负责 给 通信 双方 创建 并 分 发 共享 密 钥 ,通信 双方 获得 共 
享 密 钥 后 再 利用 挑战 /响应 协议 建立 相互 信任 关系 。 

(3) 公 钥 认证 

公开 密 钥 算法 的 出 现 为 身份 认证 协议 带 来 了 更 强 有 力 的 方法 和 手段 ,因为 它 可 以 让 
对 方 通过 密码 运算 验证 自己 的 身份 而 不 需要 将 自己 的 私 钥 告 诉 对 方 。 在 公 钥 算法 中 ,一 
般 将 利用 私 钥 对 明文 信息 进行 的 变换 称 为 签名 (sign) ,变换 后 的 信息 为 签名 信息 ;将 利用 
公 钥 对 明文 信息 进行 的 变换 称 为 封装 (seal) 或 者 加 密 。 

使 用 公 钥 方式 进行 身份 认证 时 需要 事先 知道 对 方 的 公 钥 ,虽然 已 经 有 算法 可 以 解决 
双方 在 通信 时 直接 交换 公 钥 的 安全 问题 ,但 是 从 使 用 方便 程度 和 可 管理 程度 上 出 发 需要 
依靠 一 个 可 信 第 三 方 来 参与 分 发 公 钥 。 如 果 没 有 可 信 第 三 方 的 参与 ,每 个 通信 参与 方 都 
需要 记 住 所 有 其 他 用 户 的 公 钥 ,不 仅 增加 负担 而 且 无 法 更 新 维护 ;其 次 每 个 通信 方 产 生 自 
己 的 私 钥 和 公 钥 ,而 它们 的 可 信赖 程度 不 同 ,一旦 出 现 问题 和 纠纷 需要 权威 中 间 机 构 进 行 
仲裁 。 在 实际 网 络 环境 中 ,采用 证 书 (certificate) 的 方式 来 分 发 公 钥 。 证 书 是 一 种 特殊 格 
式 的 数据 记录 , 它 包 含有 证 书 代表 的 通信 参与 方 的 名 字 身份 信息 、 公 钥 以 及 签发 机 构 、 签 
发 日 期 .序列 号 有效 期 等 相关 数据 ,由 证 书 权 威 机 构 (Certificate Authority,CA) 用 自己 
的 私 钥 进行 签名 。 证 书 权威 机 构 扮演 可 信 第 三 方 的 角色 , 它 是 大 家 信任 的 组 织 ` 机 构 。 所 
有 的 公 钥 认证 系统 都 采用 了 证 书 方式 ,证书 被 设计 存放 在 目录 服务 系统 中 ,通信 参与 方 拥 
有 CA 的 公 钥 ,可 以 从 目录 服务 中 获得 通信 对 方 的 证 书 , 通 过 验证 CA 签名 可 以 相信 证 书 
中 列 出 的 对 方 公 钥 。 

KDC 方式 和 CA 方式 是 分 发 密 钥 的 主要 技术 ,它们 各 有 自己 明显 的 优势 和 缺陷 。 公 
钥 方式 的 身份 认证 协议 安全 强度 要 高 ,但 是 计算 开销 大 ,因此 , 越 来 越 多 的 安全 系统 倾向 
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于 利用 公 钥 进行 认证 和 建立 对 称 的 会 话 密 钥 ,利用 传统 密 钥 进行 大 量 数据 传输 的 方法 , 例 
如 ,SSL 协议 .PGP 等 。 


443 审计 功能 


可 审 性 的 另 一 个 重要 功能 是 审计 。 审 计 提 供 历史 事件 的 记录 。 审 计 记 录 将 每 个 人 与 
其 在 计算 机 系统 中 或 在 物理 世界 中 的 行动 联系 起 来 。 如 果 没 有 正确 的 身份 标识 与 身份 鉴 
别 ,审计 记录 也 是 没有 用 的 ,因为 无 法 保证 这 些 记录 事件 确实 是 谁 执行 的 。 

在 物理 世界 ,审计 的 方法 有 入 门 的 日 志 、 签 名 本 、 录 像 仪 等 。 这 些 物 理 记录 的 目的 是 
提供 执行 各 种 行动 的 记录 。 应 该 特别 指出 的 是 ,必须 采用 完整 性 服务 以 保证 这 些 审计 记 
录 没 有 被 修改 过 。 和 否则 ,这些 审 计 记 录 是 值得 怀疑 的 。 

在 电子 世界 ,计算 机 系统 提供 日 志 , 以 记录 用 户 ID 的 行动 。 假 如 身份 标识 与 身份 鉴 
别 功能 的 作用 合适 ,这 些 事件 就 能 跟踪 用 户 的 行为 。 同 样 ,必须 保护 好 计算 机 系统 上 的 审 
计 记 录 , 防 止 非 授权 者 对 其 进行 修改 ,事实 上 ,审计 记录 要 防止 任何 人 的 修改 。 

由 上 述 分 析 可 知 , 可 审 性 服务 并 不 能 阻止 攻击 。 它 与 其 他 服务 结合 ,尤其 是 机 密 性 和 
完整 性 服务 结合 ,对 试图 执行 某 些 操作 者 进行 正确 的 身份 标识 与 身份 鉴别 。 可 审 性 服务 
还 提供 用 户 对 系统 执行 的 操作 记录 ,因此 ,事件 能 重 构 。 


4.5 ”数字 签名 


在 完整 性 服务 与 可 审 性 服务 中 都 提 到 数字 签名 。 数 字 签 名 是 通信 双方 在 网 上 交换 信 
息 用 公 钥 密码 防止 伪造 和 欺骗 的 一 种 身份 认证 。 在 传统 密码 中 ,通信 双方 用 的 密 钥 是 一 
样 的 ,既然 如 此 , 收 信 方 可 以 伪造 ,修改 密 文 ,发 信 方 也 可 以 抵赖 他 发 过 该 密 文 ,车 产生 纠 
纷 ,将 无 法 裁决 谁 是 谁 非 。 
由 于 公 钥 密码 的 每 个 用 户 都 有 两 个 密 钥 ,所 以 实际 上 有 两 个 算法 ,如 用 户 A ,一 个 是 
加 密 算法 Es ,一 个 是 解密 算法 DA。 
车 A 要 向 B 送 去 信息 m,A 可 用 A 的 保密 的 解密 算法 Da 对 m 进行 加 密 得 Da mm)， 
再 用 B 的 公开 算法 Es 对 Da (m) 进 行 加 密 得 
C= Es (Da (mm)) 
B 收 到 密 文 C 后 先 用 他 自己 掌握 的 解密 算法 Ds 对 C 进行 解密 得 
Ds(C)= Das(Es (Da(m)))= Da (mm) 
再 用 A 的 公开 算法 Eh 对 Ds(m) 进 行 解密 得 
Es (DA(m))=m 
从 而 得 到 了 明文 mm。 
由 于 C 只 有 人 A 才能 产生 ,B 无 法 伪造 或 修改 C, 所 以 A 也 不 能 抵赖 ,这 样 就 能 达到 
签名 的 目的 。 不 是 所 有 公 钥 系统 都 具有 数字 签名 的 能 力 , RSA 第 一 个 提出 这 样 的 
功能 。 
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4.6 Kerberos 鉴别 


Kerberos 鉴别 是 一 种 使 用 对 称 密 钥 加 密 算法 来 实现 通过 可 信 第 三 方 密 钥 分 发 中 心 
(KDC) 的 身份 认证 系统 。 它 是 美国 麻 省 理工 学 院 (MIT) 为 了 保护 Athena 项 目 中 的 网 络 
服务 和 资源 而 开发 的 , Kerberos 版 本 5 的 协议 已 被 Internet 工程 部 IEIF 正式 接受 为 
RFC 1510。 

Kerberos 在 学 术 界 和 工业 界 都 获得 了 广泛 的 支持 ,被 众多 系统 选 作 身 份 认证 的 基础 
平台 。 例 如 ,开放 软件 基金 会 (Open Soft Foundation,OSF) 开 发 的 分 布 式 计算 环境 DCE 
就 是 以 Kerberos 为 身份 认证 平台 的 ,而 在 国外 应 用 最 广泛 的 分 布 式 文件 系统 (Andrew 
File System,AFS) 也 采用 了 Kerberos 作为 身份 认证 平台 。 目 前 各 主要 操作 系统 都 支持 
Kerberos 认证 系统 ,例如 ,Microsoft 公司 在 其 高 端 服务 器 产品 Windows NT 5. 0 中 也 支 
持 Kerberos 系统 。Kerberos 实际 上 已 经 成 为 工业 界 的 事实 标准 。 

Kerberos 使 用 对 称 密 钥 加 密 算法 来 实现 通过 可 信 第 三 方 密 钥 分 发 中 心 的 认证 服务 ， 
它 提供 了 网 络 通信 方 之 间 相 互 的 身份 认证 手段 ,而 且 并 不 依赖 于 主机 操作 系统 和 地 址 。 
Kerberos 设计 的 目标 是 在 开放 网 络 上 运行 ,不 要 求 网 络 上 所 有 主机 的 物理 安全 ,同时 还 
假设 通过 网 络 传输 的 包 可 以 被 任意 截获 .修改 和 插入 。Kerberos 系统 非常 适合 在 一 个 物 
理 网 络 并 不 安全 的 环境 下 使 用 , 它 的 安全 性 经 过 了 实践 的 考验 。 

Kerberos 协议 中 有 3 个 通信 参与 方 : 需要 验证 身份 的 通信 双方 及 一 个 双方 都 信任 的 
第 三 方 , 即 密 钥 分 发 中 心 C(KDC) 。 当 某 个 网 络 应 用 进程 需要 访问 另外 一 个 服务 进程 时 ， 
例如 ,向 远程 FTP 服务 器 发 起 FTP 连接 , 它 首先 需要 向 FTP 服务 器 验证 自己 的 身份 , 同 
时 也 要 确认 该 FTP 服务 器 的 身份 ,这 样 就 构成 了 双向 的 身份 认证 。 将 发 起 认证 服务 的 一 
方 称 为 客户 方 ,将 客户 方 需要 访问 的 对 象 称 为 服务 器 方 。 在 Kerberos 中 客户 方 是 通过 向 
服务 器 方 递交 自己 的 “凭据 "(ticket) 来 证 明 自 己 的 身份 的 ,该 凭据 是 由 KDC 专门 为 客户 
方 和 服务 器 方 在 某 一 阶段 内 通信 而 生成 的 。 和 凭据 中 包括 有 客户 和 服务 器 方 的 身份 信息 、 
在 下 一 阶段 双方 使 用 的 临时 加 密 密 钥 ( 称 为 会 话 密 钥 ,Session Key), 还 有 证 明 客 户 方 拥 
有 会 话 密 钥 的 身份 认证 者 (authenticator) 信 息 。 身 份 认 证 者 信息 的 作用 是 防止 攻击 者 将 
来 将 同样 的 凭据 再 次 使 用 。 

凭据 是 KDC 发 出 的 。Kerberos 在 Needham-Schroeder 原始 模型 中 加 入 了 时 间 标 记 
(timestamp) 以 检测 重 放 攻 击 (Replay Attack)。 与 KDC 共享 的 密 钥 构 成 了 客户 方 或 者 
服务 器 方 相 信 它 接收 到 的 凭据 的 真实 性 的 基础 。 为 了 提高 安全 性 能 ,一 个 Kerberos 凭据 
只 在 一 段 有 限 的 时 间 内 有 效 , 称 为 凭据 的 生命 期 。 当 生命 期 过 后 凭据 自动 失效 ,以 后 的 通 
信 必 须 从 KDC 获得 新 的 凭据 进行 认证 。 

KDC 自治 管理 的 计算 机 和 用 户 等 通信 参与 方 的 全 体 称 为 领域 (realm) ,领域 是 从 管 
理 角度 提出 的 概念 ,与 物理 网 络 或 者 地 理 范围 等 无 关 。 在 实际 使 用 中 ,为 了 方便 , 通常 选 
择 与 Internet 域名 系统 一 致 的 名 字 来 命名 领域 。 不 同 领 域 中 的 用 户 之 间 的 身份 认证 也 是 
可 以 进行 的 ,Kerberos 定义 了 通过 共享 密 钥 进行 领域 间 用 户 认证 的 方式 。 
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Kerberos 保持 一 个 它 的 客户 方 以 及 密 钥 的 数据 库 , 这 些 密 钥 是 KDC 与 客户 方 之 间 
共享 的 ,是 不 能 被 第 三 方 知道 的 。 如 果 客 户 是 用 户 ,该 密 钥 就 是 用 户口 令 经 过 Hash 生成 
的 ,需要 使 用 Kerberos 认证 服务 的 其 他 网 络 服务 也 需要 进行 登记 并 且 在 登记 时 协商 共享 
密 钥 ,这 些 密 钥 往往 是 机 器 随机 生成 的 。 


而 也 公 钥 基础 设施 


公 钥 基础 设施 (PKD) 是 在 分 布 式 计算 机 系统 中 提供 的 使 用 公 钥 密码 系统 和 X. 509 证 
书 安全 服务 的 基础 设施 。PKI 产品 和 服务 允许 使 用 者 在 网 络 上 建立 一 个 安全 领域 ,在 该 
领域 中 可 以 签发 密 钥 和 证 书 。PKI 支持 使 用 者 在 建立 的 安全 领域 中 进行 加 密 密 钥 和 证 书 
的 使 用 和 管理 ,提供 密 钥 管理 (包括 密 钥 更 新 恢复 和 托管 ) .证书 管 理 ( 包 括 产 生 和 撤销 )， 
以 及 安全 政策 管理 等 。PKI 还 提供 通过 证 书 层 次 结构 (Certificate Hierarchy) 或 者 通过 直 
接 交 叉 证 书 (Cross Certificate) 的 方法 在 本 地 安全 领域 与 其 他 安全 领域 之 间 建 立 相 互信 
任 的 关系 。 

图 4-4 表示 了 PKI 的 体系 结构 ,除了 证 书 以 外 ,PKI 还 包括 其 他 几 个 组 成 成 分 。PKI 
最 基本 的 组 成 是 证 书 的 主体 , 它 通 常 是 用 户 , 也 可 以 是 任何 拥有 公 钥 的 一 个 公司 、 组 织 、 系 
统 或 者 应 用 。 例 如 , Web 站 点 就 可 以 成 为 证 书 主体 , 它 通过 SSL 或 者 其 他 协议 与 浏览 器 
建立 安全 通信 信道 。 用 户 和 应 用 软件 系统 可 以 成 为 证 书 的 客体 ,它们 和 其 他 实体 也 将 是 


证 书 的 使 用 者 。 
证 书 权威 机 构 
(CA) 


外 用 户 和 系统 
申请 证 书 


@ CA 发 布 证 书 证 书 和 CRL 库 


(LDAP 目 录 服 务 ) 


图 应 用 和 系统 使 用 证 书 
@ CA 签发 证 书 和 

通信 方 使 用 证 书 的 
(证 书 主体 ) 应 用 和 系统 


图 4-4 PKI 体 系 结构 


证 书 权威 机 构 (CA) 创 建 并 签发 证 书 。 通 常 一 个 CA 将 为 一 个 有 限 的 用 户 团体 签发 
证 书 , 这 样 的 用 户 团体 通常 被 称 为 安全 领域 (Security Domain)。CA 还 维护 并 且 发 布 证 
书 撤销 列表 (Certificate Revoke List, CRL), 当 证 书 以 及 证 书 中 的 公 钥 失效 时 通常 采用 
CRL 这 种 集中 方式 通知 用 户 和 应 用 。CA 通常 将 CRL 发 布 在 目录 服务 的 某 个 位 置 甚至 
某 个 特定 的 URL 上 。 

目录 系统 是 PKI 的 重要 依靠 ,目前 支持 轻 量 级 目录 服务 (Light Weight Directory 
Access Protocol, LDAP) 是 最 基本 的 要 求 。 因 为 PKI 将 使 用 目录 服务 来 存放 发布. 查找 
和 获取 密 钥 ,如果 目 录 服 务 不 支持 基于 证 书 的 对 象 类 和 属性 的 话 ,PKI 产品 通常 将 涉及 对 
目录 服务 的 扩展 。 由 于 LDAP 和 X. 509 是 目前 占 优 势 的 目录 服务 标准 ,大 多 数 PKI 产 品 
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默认 支持 X. 509(X. 520、X. 521 和 X. 509) 定 义 的 证 书 对 象 类 和 属性 。 

由 于 建立 PKI 的 目标 是 需要 与 其 他 网 络 以 及 Internet 互联 ,在 全 球 范 围 内 实现 电子 
商务 和 安全 通信 等 应 用 ,因此 ,PKI 必须 基于 国际 标准 以 保证 它 的 互 操作 性 ,这 是 实现 
PKI 的 最 低 限度 的 要 求 。 但 是 目前 PKI 体系 结构 和 标准 才刚 刚 推出 , 现 有 的 很 多 证 书 服 
务 器 产品 ,例如 ,Netscape 的 Certificate Server 和 Microsoft 的 Certificate Server, 只 涉及 
了 证 书 的 生成 和 撤销 ,并 没有 解决 密 钥 等 其 他 问题 ,因此 并 不 是 一 个 完整 的 PKI 的 解决 
方案 ,没有 完全 解决 企业 对 于 公 钥 体系 结构 的 需求 。 


4.8 访问 控制 


1 访问 控制 概念 

机 密 性 服务 和 完整 性 服务 都 需要 实施 访问 控制 。 访 问 控制 是 确定 来 访 实体 有 和 否 访问 
权 以 及 实施 访问 权限 的 过 程 。 被 访问 的 数据 ,如 文件 ,数据 报 文 . 分 组 数据 包 、 数 据 帧 等 ， 
统称 客体 。 能 访问 或 使 用 客体 的 活动 实体 称 作 主体 ,如 用 户 以 及 作为 用 户 代理 的 进程 、 作 
业 或 任务 等 。 访 问 控制 一 般 都 是 基于 安全 策略 和 安全 模型 的 。Lampson 提出 的 访问 矩 
阵 (Access Matrix) 是 表示 安全 政策 的 最 常用 的 访问 控制 安全 模型 。 该 矩阵 中 列表 示 访 
问 者 , 即 主体 ; 行 表示 被 访问 对 象 , 即 客体 。 访 问 者 对 访问 对 象 的 权限 就 存放 在 矩阵 中 对 
应 的 交叉 点 上 。 

为 节省 存储 空间 ,实际 系统 通常 并 不 直接 采用 和 矩阵 ,而 是 采用 访问 控制 表 或 者 权利 表 
进行 表示 。 前 一 种 方法 是 按照 行 来 存储 矩阵 ,在 对 象 服务 器 上 存储 着 每 个 对 象 的 授权 访 
问 者 及 其 权限 的 一 张 表 ,也 称 访问 控制 表 (Access Control List, ACL)。 负 责 保护 访问 对 
象 的 程序 称 为 引用 监控 器 (Reference Monitor) , 它 根 据 访问 控制 表 的 内 容 来 判断 是 否 授 
权 某 个 访问 者 某 些 访问 权限 。 后 一 种 方法 则 是 按照 列 来 处 理 和 矩阵 ,每 个 访问 者 存储 有 访 
问 权 利 (capability) 的 表 , 该 表 包 含 了 他 能 够 访问 的 特定 对 象 和 操作 权限 。 引 用 监视 器 根 
据 验证 访问 表 提 供 的 权利 表 和 访问 者 的 身份 来 决定 是 否 授予 访问 者 相应 的 操作 权限 。 


2 访问 控制 分 类 

根据 能 够 控制 的 访问 对 象 粒 度 可 以 将 访问 控制 分 为 粗 粒 度 (Coarse Grained) 访 问 控 
制 .中 粒度 (Medium Grained) 访 问 控制 和 细 粒 度 (Fine Grained) 访 问 控制 。 这 里 并 没有 
严格 定义 的 区 分 标准 ,但 是 人 们 通常 认为 能 够 控制 到 文件 甚至 记录 对 象 的 访问 控制 可 以 
称 为 细 粒 度 访 问 控制 ,而 只 能 控制 到 主机 对 象 的 访问 控制 称 为 粗 粒 度 访问 控制 。 

目前 很 多 计算 机 系统 的 安全 都 是 采用 ACL 模型 ,分 布 式 系统 和 网 络 系统 也 不 例外 ， 
ACL 模型 提供 安全 保密 和 完整 性 安全 策略 的 基础 。 

源 通信 参与 方 是 通信 发 起 者 和 请 求 者 ,请求 信息 包含 了 对 网 络 资源 进行 某 种 操作 的 
请 求 ;ACL 服务 器 通过 引用 监控 器 检查 源 通信 方 的 请 求 内 容 并 决定 是 否 人 允许 通过 ;访问 
对 象 是 网 络 资源 ,如 文件 .设备 或 者 CPU 等 。 
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3 访问 控制 实现 

在 集中 式 系统 中 访问 控制 是 很 容易 实现 的 ,因为 操作 系统 控制 着 所 有 访问 对 象 并 且 
管理 所 有 进程 ,所 有 操作 均 在 主机 操作 系统 管理 下 进行 。 在 分 布 式 系统 和 网 络 环境 中 情 
况 有 些 不 同 , 首 先是 访问 者 和 被 访问 对 象 不 在 一 台 主 机 上 ,它们 之 间 的 通信 路 径 可 能 很 长 
并 且 中 间 可 能 经 过 很 多 台 主 机 ,这 些 主 机 的 可 信赖 程度 是 不 同 的 。 因 此 ,在 进行 身份 认证 
时 必须 将 远程 用 户 和 本 地 用 户 加 以 区 分 ,在 设置 访问 控制 权限 时 也 要 区 别 对待 。 例 如 ,有 
些 资 源 只 允许 用 户 在 本 地 进行 访问 。 其 次 是 规模 不 同 ,网 络 系统 的 规模 比 集中 式 系统 要 
大 很 多 ,因此 不 可 能 由 单个 主机 来 负责 管理 所 有 用 户 以 及 他 们 的 访问 控制 信息 。 必 须 有 
机 制 保证 引用 监视 器 与 这 些 用 户 管 理 和 访问 控制 信息 管理 的 服务 器 之 间 安 全 地 通信 ,这 
里 涉及 访问 控制 信息 数据 完整 性 和 对 访问 控制 服务 器 的 认证 协议 等 问题 。 

为 了 简化 管理 ,访问 者 通常 被 分 类 成 组 、 组 织 , 设 置 访问 控制 时 可 以 按 组 进行 设 定 ,这 
样 就 可 以 避免 访问 控制 表 过 于 庞大 。 例 如 , 某 文件 允许 所 有 清华 大 学 学 生 阅 读 , 那 么 在 访 
问 控制 表 中 将 清华 大 学 学 生 作 为 组 来 定义 是 合适 的 ,否则 就 需要 在 ACL 中 添加 一 万 多 
项 ,而 且 随 时 需要 根据 学 生 毕 业 、 入 学 而 修改 。 当 然 , 这 需要 身份 认证 系统 提供 分 组 管理 
的 功能 。 

网 络 资源 包括 信息 资源 和 服务 资源 。 授 权 控 制 框架 是 对 网 络 资源 进行 授权 管理 和 访 
问 控制 的 基本 框架 , 它 独 立 于 各 种 应 用 系统 ,独立 于 各 个 安全 子 系统 的 授权 管理 系统 ,对 
网 络 资源 实施 统一 管理 ,是 网 络 资源 管理 的 最 主要 的 安全 机 制 。 授 权 控制 框架 可 对 各 种 
应 用 服务 进行 授权 管理 ,包括 WWW 应 用 、 客 户 机 /服务 器 应 用 、TCP/IP 应 用 、 数 据 库 应 
用 ,面向 对 象 的 分 布 系统 应 用 CORBA 、 报 文 队列 MQ 应 用 等 标准 应 用 对 象 。 授 权 管理 系 
统 提供 的 基本 服务 是 授权 管理 ,管理 和 维护 授权 策略 、 对 象 映射 ,用 户 角色 等 ,并 且 要 有 使 
用 方便 的 管理 界面 ,可 以 进行 安全 的 远程 管理 。 应 用 服务 系统 通过 授权 应 用 程序 接口 获 
取 授 权 信 息 , 实 施用 户 对 对 象 的 访问 控制 。 授 权 控 制 框架 也 应 基于 国际 标准 以 保证 它 的 
互 操作 人 性 。 
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网 络 信息 基本 安全 服务 是 为 了 维护 信息 自身 的 安全 ,针对 信息 安全 威胁 ,用 以 对 抗 攻 
击 的 基本 安全 服务 : 机 密 性 服务 .完整 性 服务 .可 用 性 服务 .可 审 性 服务 。 

机 密 性 服务 提供 信息 的 保密 。 机 密 性 服务 包括 文件 机 密 性 、 信 息 传 输 机 密 性 以 及 通 
信 流 的 机 密 性 。 相 应 的 机 制 有 访问 控制 .加 密 、 填 充 通 信 等 。 机 密 性 服务 可 阻止 访问 攻 
击 , 但 它 必须 与 可 审 性 服务 一 起 使 用 。 

完整 性 服务 提供 信息 的 正确 性 。 完 整 性 服务 包括 文件 完整 性 、 信 息 传输 完整 性 。 相 
应 的 机 制 有 访问 控制 .加 密 、 数 字 签 名 等 。 完 整 性 服务 可 成 功 地 阻止 自 改 攻击 和 否认 攻 
击 ,但 它 也 必须 与 可 审 性 服务 一 起 使 用 。 

可 用 性 服务 提供 的 信息 是 可 用 的 ,使 合法 用 户 能 访问 计算 机 系统 、 存 取 该 系统 上 的 信 
息 .运行 各 种 应 用 程序 。 可 用 性 服务 包括 后 备 、 在 线 恢 复 和 灾难 恢复 。 可 用 人 性 服务 是 针对 
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拒绝 服务 攻击 的 一 种 安全 服务 。 可 用 性 并 不 能 阻止 DoS 攻击 ,但 可 用 来 减少 这 类 攻击 的 
影响 。 

可 审 性 服务 包括 身份 标识 与 身份 鉴别 .审计 。 可 审 性 服务 本 身 并 不 能 针对 攻击 提供 保 
护 , 它 必须 和 其 他 安全 服务 结合 ,从 而 使 这 些 服 务 更 有 效 。 可 审 性 服务 会 增加 系统 的 复杂 
性 ,降低 系统 的 使 用 能 力 。 然 而 ,如 果 没 有 可 审 性 服务 ,机密 性 服务 与 完整 性 服务 也 会 失效 。 

身份 鉴别 的 方法 有 知识 因子 .拥有 因子 .生物 因子 以 及 它们 的 组 合 。 网 络 环境 下 的 身 
份 鉴别 是 指 可 靠 地 验证 某 个 通信 参与 方 的 身份 是 否 与 他 声称 的 身份 一 致 的 过 程 , 一 般 通 
过 某 种 复杂 的 身份 认证 协议 来 实现 。 

数字 签名 是 通信 双方 在 网 上 交换 信息 用 公 钥 密码 防止 伪造 和 欺骗 的 一 种 身份 认证 。 

Kerberos 鉴别 是 一 种 使 用 对 称 密 钥 加 密 算法 来 实现 通过 第 三 方 密 钥 分 发 中 心 
(KDC) 的 身份 认证 系统 。 

公 钥 基础 设施 (PKD) 是 在 分 布 式 计算 机 系统 中 提供 的 使 用 公 钥 密码 系统 和 X. 509 证 
书 安全 服务 的 基础 设施 。 

访问 控制 是 指 确定 可 给 予 哪些 主体 访问 的 权利 、 确 定 以 及 实施 访问 权限 的 过 程 。 被 
访问 的 数据 统称 客体 ,能 访问 或 使 用 客体 的 活动 实体 称 主体 。 访 问 控制 一 般 都 是 基于 安 
全 政策 和 安全 模型 的 。 


习 题 


1. 机 密 性 服务 提供 信息 的 保密 ,机 密 性 服务 包括 ( )。 

A. 文件 机 密 性 ”B. 信息 传输 机 密 性 ”C. 通信 流 的 机 密 性 D. 以 上 3 项 都 是 
2. 完整 性 服务 提供 信息 的 正确 性 。 该 服务 必须 和 ( ， ) 服 务 配合 工作 ,才能 对 抗 自 改 

攻击 。 

A. 机 密 性 B. 可 用 性 C. 可 审 性 D. 以 上 3 项 都 是 
3. 数字 签名 要 预先 使 用 单 向 Hash 函数 进行 处 理 的 原因 是 ( ) 。 

A. 多 一 道 加 密 工序 使 密 文 更 难 破译 

B. 提高 密 文 的 计算 速度 

C. 缩小 签名 密 文 的 长 度 , 加 快 数字 签名 和 验证 签名 的 运算 速度 

D. 保证 密 文 能 正确 地 还 原 成 明文 
4. Kerberos 的 设计 目标 不 包括 ( )。 

A. 认证 B. 授权 C. 记 账 D. 加 密 
5. 身份 鉴别 是 安全 服务 中 的 重要 一 环 ,以 下 关于 身份 鉴别 的 叙述 不 正确 的 是 (”)。 

A. 身份 鉴别 是 授权 控制 的 基础 

B. 身份 鉴别 一 般 不 用 提供 双向 的 认证 

C. 目前 一 般 采 用 基于 对 称 密 钥 加 密 或 公开 密 钥 加 密 的 方法 

D. 数字 签名 机 制 是 实现 身份 鉴别 的 重要 机 制 
6. 基于 通信 双方 共同 拥有 的 但 是 不 为 别人 知道 的 秘密 ,利用 计算 机 强大 的 计算 能 

力 ,以 该 秘密 作为 加 密 和 解密 的 密 钥 的 认证 是 ( )。 
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A. 公 钥 认证 。 B. 零 知识 认证 C. 共享 密 钥 认证 。 D. 口令 


7. Kerberos 在 请 求 访问 应 用 服务 器 之 前 ,必须 ( )。 
A. 向 Ticket Granting 服务 器 请 求 应 用 服务 器 ticket 
B. 向 认证 服务 器 发 送 要 求 获 得 证书” 的 请 求 
C. 请 求 获得 会 话 密 钥 
D. 直接 与 应 用 服务 器 协商 会 话 密 钥 
8. 下 面 不 属于 PKI( 公 钥 基 础 设施 ) 的 组 成 部 分 的 是 ( )。 


A. 证 书 主体 B. 使 用 证 书 的 应 用 和 系统 
C. 证 书 权 威 机 构 D. AS 

9. 下 列 对 访问 控制 影响 不 大 的 是 ( )。 
A. 主体 身份 B. 客体 身份 
C. 访问 类 型 D. 主体 与 客体 的 类 型 

10. 为 了 简化 管理 ,通常 对 访问 者 (” ) ,避免 访问 控制 表 过 于 庞大 。 
A. 分 类 组 织 成 组 
B. 严格 限制 数量 


C. 按 访 问 时 间 排 序 ,并 删除 一 些 长 期 没有 访问 的 用 户 
D. 不 作 任 何 限制 


认证 


S 痘 
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本 章 要 点 : 

。 可 信 系统 体系 结构 及 其 要 素 ; 

。 网 络 安全 的 分 层 体系 结构 ; 

。 OSI 安全 体系 结构 的 安全 服务 与 安全 机 制 ; 
。 ISO/IEC 网 络 安全 体系 结构 。 


5.1 ”系统 安全 体系 结构 
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从 头 开始 设计 一 个 系统 是 一 项 复杂 的 任务 ,有 很 多 复杂 的 、 抽 象 的 目标 需要 通过 数 
学 逻辑、 设计 ,编程 .实施 来 达到 。 当 构建 一 个 系统 时 ,需要 做 出 很 多 基本 的 设计 决定 。 
安全 仅仅 是 系统 的 一 个 目标 ,但 这 是 需要 十 分 重视 的 一 个 目标 。 

完整 性 、 可 用 性 ,保密 性 可 以 在 企业 的 不 同 地 方 实施 。 例 如 ,一 个 公司 可 将 客户 的 
信用 卡 信息 存储 在 数据 库 , 很 多 用 户 可 访问 。 很 显然 ,这 些 信息 需要 很 好 地 保护 ,以 确 
保 不 被 非 授 权 用 户 访问 或 修改 。 先 从 一 般 性 的 问题 开始 ,然后 逐步 细 化 。 这 些 问 题 
是 : 这 些 保 护 应 放置 在 何 处 ? 当 用 户 登录 和 授权 时 应 否 设 置 访问 控制 以 指明 什么 数据 
能 访问 或 不 能 访问 ? 存储 信用 卡 信 息 的 数据 文件 是 否 应 在 文件 一 级 予以 保护 ?是 否 
应 提供 限制 用 户 的 操作 和 活动 的 保护 ?是 否 需 要 将 上 述 保 护 组 合 在 一 起 ?首先 ,也 是 
最 重要 的 问题 是 何 处 应 设置 保护 ,是 在 用 户 端 ,是 在 存储 数据 的 地 方 , 还 是 限制 用 户 的 
活动 ?如 图 5-1 所 示 。 


二 3. 控 制 用 户 和 数据 之 间 的 操作 
1. 在 用 户 端 实施 保护 2. 在 数据 端 实施 保护 


图 5-1 安全 机 制 设置 的 位 置 


一 旦 这 些 通 用 的 问题 确定 以 后 , 接 下 来 就 是 确定 安全 机 制 设置 在 何 处 , 它 可 以 设置 在 
硬件 .内核 .操作 系统 、 服 务 或 程序 级 。 那 么 究竟 将 安全 机 制 设置 在 哪 一 层 ? 如 果 保 护 在 
硬件 层 实现 ,保护 机 制 更 简单 ,可 提供 广泛 的 通用 的 保护 。 越 是 层次 向 上 升 , 越 是 增加 复 
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杂 性 ,而 功能 则 更 加 专门 和 细 粒 度 。 最 高 层 也 最 复杂 ,因为 它 直 接 向 用 户 提供 广泛 的 功能 
和 选项 。 功 能 和 安全 复杂 性 增加 , 则 越 靠 近 用 户 。 复 杂 性 增加 , 则 安全 机 制 的 级 别 越 低 。 
如 图 5-2 所 示 。 

安全 机 制 越 复杂 ,提供 的 安全 保障 越 低 。 因 为 机 制 @ 


Pe 


越 复杂 ,要 求 安装 测试 维护 和 使 用 者 的 技术 越 熟 练 。 工 
具 越 复杂 ,差错 的 概率 越 大 。 从 而 增加 了 安全 危害 的 几 = , 
率 。 安 全 机 制 越 复杂 , 越 难 对 所 有 可 能 的 情况 进行 测试 。 导 击 丰 上 
反之 简单 的 机 制 不 能 提供 一 系列 丰富 的 功能 和 选项 , 虽 澡 六 
然 它 易于 安装 ,维护 ,使 用 和 测试 。 所 以 当 设计 一 个 系统 名 服务 1 
时 ,对 功能 和 保障 要 很 好 地 折 中 ,正确 选择 安全 机 制 。 。 党 邓 人 采 统 当 
一 旦 设计 者 选 定 了 下 面 这 些 考虑 : 安全 机 制 集中 在 用 可 入 
户 ,数据 还 是 操作 ;安全 机 制 放置 在 硬件 内核, 操作 系统 ， 穴 国 
服务 或 程序 哪 一 层 ;每 个 机 制 的 复杂 程度 ,就 可 以 构建 安 > 
全 机 制 ,并 且 和 系统 的 其 他 部 分 用 合适 的 方法 集成 起 来 。 是 
第 一 步 是 决定 什么 样 的 系统 机 制 需要 可 信 的 ,以 及 > 


说 明 这 些 实体 如 何以 安全 的 方式 交互 。 虽然 要 求 系统 内 
的 所 有 部 件 都 是 可 信 的 似乎 更 安全 ,但 这 会 引入 更 多 的 。 图 5-2 安全 机 制 复杂 性 和 
开销 ,复杂 性 和 性 能 瓶颈 。 对 一 个 可 信和 机 制 而 言 , 它 能 保 安全 保障 的 关系 

护 自 身 及 处 理 的 数据 , 它 以 安全 的 、 可 预报 的 方式 实现 ， 

不 会 对 其 他 可 信 或 不 可 信 机 制 产生 不 利 的 影响 。 同 时 这 些 可 信 部 件 能 访问 更 多 的 特权 服 
务 , 能 直接 访问 内 存 , 当 请 求 CPU 处 理 时 ,有 更 高 的 优先 级 ,以 及 对 系统 资源 有 更 强 的 控 
制 。 因 此 ,可 信 主 体 和 客体 需要 被 识别 ,和 不 可 信 主 体能 区 别 及 放 在 一 个 指定 的 子 集 。 
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如 上 所 述 , 并 非 所 有 部 件 都 必须 是 可 信 的 ,因此 也 不 属于 可 信 计 算 基 (trusted 
computing base， TCB)。 在 计算 机 系统 中 全 部 保护 机 制 的 组 合 定义 为 TCB。TCB 包括 
硬件 ,软件 和 固件 。 这 些 构成 TCB 的 一 部 分 ,因为 系统 确信 这 些 部 件 将 实施 安全 策略 并 
且 不 受 侵犯 。 

需要 识别 TCB 的 各 部 件 及 定义 它们 可 接受 的 能 力 。 例 如 ,一 个 低 可 信 级 别 的 系统 多 
许 所 有 授权 用 户 访问 和 修改 计算 机 上 的 所 有 文件 。 这 样 的 主体 和 客体 的 集合 很 大 , 且 它 
们 间 的 关系 是 松散 的 、 自 由 的 。 具 有 更 高 可 信和 级 别 的 系统 可 能 只 允许 两 个 主体 能 访问 计 
算 机 系统 上 的 所 有 文件 ,而 只 有 一 个 主体 能 修改 所 有 的 文件 。 这 样 的 子 集 很 小 , 且 实施 的 
规则 更 加 严格 和 详细 。 


513 可 信 计 算 基 


TCB 来 源 于 美国 国家 计算 机 安全 中 心 制定 的 橘 皮 书 ,在 第 20 章 安全 认证 和 评估 中 
将 详细 叙述 。 事 实 上 没有 一 个 计算 机 系统 是 完全 安全 的 ,因为 攻击 类 型 和 漏洞 随时 会 变 
68 
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化 ,只 要 有 足够 的 时 间 和 资源 ,大 部 分 攻击 都 能 得 膛 。 然 而 ,如 果 一 个 系统 满足 一 定 准则 ， 
从 安全 角度 看 ,似乎 提供 了 一 定 的 可 信 级 别 。 

TCB 不 只 是 对 操作 系统 而 言 ,因为 一 个 计算 机 系统 不 只 是 由 操作 系统 组 成 。TCB 涉 
及 硬件 .软件 和 固件 ,它们 都 可 能 正面 地 或 负面 地 影响 计算 机 环境 ,都 有 责任 来 支持 和 实 
施 特定 系统 的 安全 策略 。 某 些 部 件 和 机 制 在 支持 安全 策略 方面 有 直接 的 职责 ,如 固件 不 
让 用 户 从 软盘 引导 计算 机 ,又 如 内 存 管 理 不 让 用 户 写 其 他 用 户 的 数据 。 有些 部 件 不 实施 
安全 策略 ,但 必须 合适 地 运行 ,不 侵犯 系统 的 可 信 。 侵 犯 一 个 部 件 的 类 型 是 多 样 的 ,可 以 
引起 系统 安全 策略 的 破坏 ,可 以 是 一 个 应 用 程序 企图 直接 调用 某 个 硬件 ,而 不 是 通过 操作 
系统 正常 调用 ,可 以 是 一 个 程序 企图 在 允许 的 内 存 空间 以 外 读数 据 ,或 者 一 些 软件 在 使 用 
一 些 资源 后 没有 适当 地 释放 资源 。 

并 非 系 统 的 每 个 部 分 都 需要 是 可 信 的 ,评估 一 个 系统 的 可 信 级 别 是 由 构成 TCB 的 结 
构 、 安 全 服务 及 保障 机 制 确定 的 。 要 看 TCB 对 于 偶然 的 或 故意 的 损害 和 破坏 活动 是 如 何 
保护 的 。 对 高 可 信 级 的 系统 必须 满足 严格 定义 的 TCB 要 求 ,以 及 详细 的 运行 状态 、 开 发 
步骤 测试 过 程 ,更 加 细 粒 度 的 文本 审查 。 

采用 专门 的 安全 准则 ,来 构造 ,评估 和 验证 可 信 系统 ,可 以 给 客户 提供 一 个 度量 标准 ,对 
不 同 的 系统 进行 比较 。 同 时 给 厂商 提供 指南 ,依据 客户 的 安全 要 求生 产 合格 的 安全 系统 。 

郴 皮 书 定义 了 可 信 系统、 系统 的 软件 和 硬件 利用 这 个 度量 标准 为 不 同 用 户 集成 不 分 
类 的 和 分 类 的 数据 ,并 且 不 违反 访问 权限 和 安全 策略 ,在 系统 内 所 有 的 保护 机 制 实 施 安全 
策略 ,提供 期 望 的 环境 。 这 意味 着 系统 的 每 一 层 必须 信任 下 一 层 以 执行 预期 的 功能 ,提供 
期 望 的 功能 ,在 不 同情 况 下 以 期 望 的 方式 运行 。 当 操作 系统 调用 硬件 时 ,用 专门 的 数据 格 
式 返 回 一 个 预期 的 数据 ,并 且 以 一 致 的 和 预期 的 方式 动作 。 运 行 在 操作 系统 顶端 的 应 用 
程序 要 求 能 作 某 种 系统 调用 ,接收 需要 的 返回 数据 ,能 在 可 靠 的 环境 中 运行 。 用 户 期 望 硬 
件 、 操 作 系 统 、 应 用 程序 以 特定 的 方式 运行 ,并 提供 一 定 级 别 的 功能 。 为 了 使 所 有 这 些 能 
以 预定 的 方式 运行 ,系统 的 这 些 要 求 必须 在 开发 的 计划 阶段 就 实施 。 


514 安全 边界 


如 上 所 述 ,不 是 每 个 部 件 和 资源 都 在 TCB 内 ,用 安全 边界 来 区 分 可 信和 不 可 信 。 某 
些 资源 不 在 TCB 内 即 在 安全 边界 外 。 当 TCB 内 的 部 件 需 要 和 TCB 外 的 部 件 通信 ,为 了 
使 系统 处 在 可 信和 安全 状态 ,必须 开发 精确 的 通信 标准 ,以 确保 这 种 类 型 的 通信 不 会 带 来 
非 预 期 的 安全 危害 。 这 类 通信 通过 接口 来 处 理 和 控制 。 

例如 ,在 TCB 安全 边界 内 的 资源 不 能 将 保密 信息 传 给 TCB 外 的 资源 。 接 收 来 自 可 
信和 度 较 低 资 源 的 命令 和 信息 ,TCB 内 的 资源 必须 十 分 小 心 。 这 种 限制 是 由 实施 安全 边界 
的 机 制 和 允许 这 类 通信 发 生 的 接口 实现 的 ,如 图 5-3 所 示 。 

在 可 信 部 件 和 非 可 信 部 件 之 间 的 通信 必须 加 以 控制 ,以 确保 保密 信息 不 以 非 期 望 的 
方式 流动 。 
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通过 控制 
非 可 信 部 件 接口 保护 通信 


安全 边界 强制 分 开 
可 信和 非 可 信 部 件 


图 5-3 可 信 部 件 和 非 可 信 部 件 间 通 信 的 接口 控制 


515 基准 监控 器 和 安全 内 核 


迄今 为 止 ,在 开发 计算 机 系统 结构 的 任务 中 ,已 经 定义 了 安全 机 制 设置 在 何 处 (硬件 、 
内 核 .操作 系统 .服务 和 程序 ); 定 义 了 TCB 内 的 客体 ,以 及 这 些 部 件 如 何 交 互 ; 构 造 了 区 
分 可 信 部 件 和 非 可 信和 部 件 的 安全 周边 ,开发 了 合适 的 接口 ,使 实体 间 安 全 通信 。 接 下 来 需 
开发 和 实施 一 个 机 制 ,给 予 主体 必要 的 允许 权 以 访问 客体 。 即 需要 开发 和 实施 一 个 基准 
监控 器 和 安全 内 核 。 基 准 监控 器 是 一 个 抽象 的 机 器 ,用 来 协调 所 有 的 访问 主体 和 客体 ,以 
确保 主体 有 必需 的 访问 权 ,以 及 保护 客体 不 被 非 授权 访问 、 修 改 和 破坏 。 对 一 个 具有 更 高 
可 信 级 的 系统 ,必须 给 主体 (程序 .用户 或 进程 ) 以 优先 授权 来 访问 客体 (文件 、 程 序 或 资 
源 )。 基 准 监控 器 是 一 个 访问 控制 概念 ,并 非 实 在 的 物理 部 件 ,所 以 称 它 为 基准 监控 器 概 
念 。 安 全 内 核 由 TCB 内 的 一 些 机 制 构成 ,以 实施 和 执行 基准 监控 器 概念 。 安 全 内 核 由 硬 
件 、 固 体 和 软件 组 成 ,以 协调 主体 和 客体 间 的 访问 及 各 种 功能 。 安 全 内 核 是 TCB 的 核心 ， 
是 最 常用 的 构造 可 信 计 算 系 统 的 方案 : 

。 为 了 执行 基准 监控 器 概念 , 它 必 须 提 供 隔离 且 防 算 改 的 功能 。 

。 对 每 个 访问 企图 ,基准 监控 器 必须 都 行使 其 职责 , 且 不 可 能 被 侵入 。 因 此 ,基准 监 

控 器 必须 以 完善 的 .十 分 安全 的 方法 实行 。 
。 基准 监控 器 必须 是 可 验证 的 ,这 意味 着 所 有 基准 监控 器 所 做 出 的 决定 都 应 写成 审 
计 日 志 , 并 可 验证 。 

。， 它 必须 足够 小 ,可 以 完善 的 ,综合 的 方法 进行 测试 和 验证 。 

这 些 要 求 也 是 对 提供 和 实施 基准 监控 器 概念 的 安全 内 核 的 要 求 。 这 些 工作 是 抽象 
的 ,但 是 通过 硬件 设备 和 软件 码 的 物理 世界 实现 。 实 施 基准 监控 器 抽象 概念 的 部 件 的 保 
证 是 通过 测试 及 其 功能 来 证 明 的 。 


516 安全 域 


域 定义 为 主体 能 访问 的 客体 的 集合 。 在 这 个 域内 的 所 有 资源 用 户 能 访问 ,所 有 文件 
程序 能 用 ,内 存 段 处 理 器 能 使 用 ,以 及 各 种 服务 和 进程 能 被 应 用 程序 使 用 。 一 个 主体 需要 
能 访问 和 使 用 客体 (资源 ) 来 完成 任务 , 域 定义 什么 样 的 客体 能 被 主体 使 用 ,什么 样 的 客体 
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不 能 被 主体 使 用 。 

这 些 域 必须 是 能 识别 的 、 分 开 的 ,而 且 必 须 严 格 实施 。 操 作 系 统 可 以 工作 在 特权 模 
式 , 也 可 以 工作 在 用 户 模式 。 使 用 两 种 不 同 模式 ,可 以 定义 两 个 不 同 的 域 。 特 权 模 式 有 更 
大 的 工作 域 , 即 更 多 资源 可 访问 ,因此 也 能 提供 更 多 的 功能 。 当 一 个 操作 系统 工作 在 特权 
模式 , 它 能 访问 各 个 内 存 模块 ,能 将 数据 从 一 个 非 保护 域 传送 到 保护 域 , 且 能 和 硬件 设备 
直接 访问 和 通信 。 工 作 在 用 户 模式 ,应 用 程序 不 能 直接 访问 内 存 ,资源 的 应 用 也 有 更 多 限 
制 。 只 有 某 些 内 存 段 可 用 于 应 用 程序 , 且 必 须 以 非 直接 和 受 控 的 方式 访问 。 应 用 仅 能 在 
自己 的 域内 复制 文件 , 且 不 能 直接 访问 硬件 。 

存在 于 特权 域 的 程序 在 执行 指令 和 处 理 其 数据 时 ,必须 保证 不 同 域 的 程序 不 能 负面 
影响 其 环境 。 因 此 称 它 为 执行 域 (execution domain) 。 因 为 在 特权 域 的 程序 要 访问 敏感 
资源 ,环境 需要 保护 以 防止 其 他 域 的 程序 产生 的 欺诈 程序 码 或 非 预 期 的 活动 。 某 些 系统 
仅 有 为 数 不 多 的 用 户 和 特权 域 ,而 有 些 系统 恰 有 复杂 的 结构 ,甚至 包含 十 多 个 安全 域 。 

一 个 安全 域 和 赋予 主体 或 客体 的 保护 环 有 直接 的 关联 关系 。 越 是 小 的 保护 环 号 , 特 
权 越 高 ,安全 域 越 大 。 这 个 概念 如 图 5-4 所 示 。 


环 3 
环 2 
环 1 


环 0 


资源 的 安全 域 


资源 的 安全 域 


资源 的 安全 域 


资源 的 安全 域 


图 5-4 可 信 级 和 安全 域 的 关系 


517 资源 隔离 


为 了 正确 实施 访问 控制 审计、 决定 什么 样 的 主体 和 客体 存在 于 专门 的 域 ,每 个 资源 
必须 清楚 地 相互 分 开 。 模 块 化 要 求 能 使 每 个 主体 和 客体 可 唯一 识别 、 独 立地 赋予 允许 权 ， 
可 审计 的 及 复杂 的 活动 能 精确 跟踪 。 主 体 、 客 体 和 保护 控制 需要 清楚 地 相互 隔离 ,而 隔离 
的 方法 和 实施 是 系统 的 体系 结构 及 其 安全 模型 的 需求 。 

进程 也 是 需要 隔离 的 资源 ,通常 通过 不 同 的 地 址 分 配 来 实现 。 虚 拟 内 存 技 术 用 来 使 
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不 同 的 进程 有 一 个 特殊 的 内 存 分 配 范围 , 它 并 不 知道 系统 还 有 其 他 内 存 。 进 程 随机 地 在 
分 配 的 内 存 区 内 工作 ,不 会 影响 其 他 内 存 段 的 其 他 进程 数据 。 

对 高 可 信 级 的 系统 ,需要 实施 内 存 的 硬件 分 段 用 于 不 同 的 进程 。 这 意味 着 内 存 是 物 
理 上 分 开 的 ,而 不 是 逻辑 上 分 开 。 这 就 增加 了 一 层 保护 ,确保 较 低 特权 的 进程 不 会 对 较 高 
级 进程 的 内 存 空间 进行 存 取 和 修改 。 


518 安全 策略 


前 面 提 到 TCB 包含 了 直接 实施 安全 策略 的 部 件 。 什 么 是 安全 策略 呢 ? 安全 策略 是 
一 些 规则 的 集合 ,指明 敏感 信息 是 如 何 管 理 . 保 护 和 分 布 的。 安全 策略 确切 地 表达 要 实现 
的 安全 机 制 的 目标 设置 是 何 种 级 别 。 这 在 定义 系统 设计 时 是 一 个 十 分 重要 的 目标 。 安 全 
策略 是 系统 规范 的 基础 ,提供 评估 系统 的 基准 。 在 第 3 章 已 经 详细 讨论 了 安全 策略 ,但 重 
点 是 讲述 一 个 组 织 的 安全 策略 ,而 这 里 所 指 的 是 操作 系统 和 应 用 程序 的 安全 策略 。 

一 个 系统 提供 可 信和 是 通过 符合 和 实施 安全 策略 ,典型 的 是 处 理 主体 和 客体 之 间 的 关 
系 。 安 全 策略 必须 指明 什么 样 的 主体 能 访问 什么 样 的 客体 ,以 及 什么 样 的 行为 是 可 接受 
的 或 不 可 接受 的 。 安 全 策略 好 似 计算 系统 的 框架 ,根据 这 些 框架 定义 系统 的 可 信 。 

为 了 提供 一 个 可 接受 的 可 信 级 的 系统 , 它 必 须 基 于 体系 结构 ,提供 保护 能 力 ,以 防止 
不 可 信 的 进程 ,不 经 意 的 或 故意 的 危害 ,以 及 系统 的 不 同 层 的 攻击 。 大 多 数 可 信 级 别 需要 
定义 主体 和 客体 的 子 集 、 清 晰 的 各 个 域 以 及 资源 隔离 ,这样 它 们 的 访问 能 被 控制 ,执行 的 
活动 能 被 审计 。 

综 上 所 述 ,一 个 系统 的 可 信和 是 由 准则 的 集合 定义 的 。 根 据 准则 的 集合 测试 一 个 系统 ， 
即 可 赋予 这 个 系统 的 级 别 , 并 用 于 客户 、 厂 商 以 至 整个 计算 世界 。 准 则 将 决定 安全 策略 是 
否 被 支持 和 实施 。 安 全 策略 设计 各 种 规则 以 及 实践 有 关系 统 如 何 管理 ,保护 以 及 分 布 敏 
感 信息 。 基 准 监 控 器 是 一 个 概念 , 即 所 有 主体 必须 有 合适 的 权力 访问 客体 ,并 由 安全 内 核 
实施 。 安 全 内 核 由 根据 系统 安全 策略 管理 系统 活动 的 资源 组 成 ,是 控制 访问 系统 资源 的 
操作 系统 的 一 部 分 。 为 了 正确 地 工作 ,这 些 资源 需要 相互 隔离 .并且 需 要 定义 域 来 支配 什 
么 样 的 客体 可 被 什么 样 的 主体 使 用 。 

安全 策略 阻止 信息 从 高 安全 级 别 流向 低 安全 级 别 , 称 多 级 安全 策略 。 这 样 的 安全 策 
略 只 有 在 主体 安全 级 别 高 于 或 等 于 客体 的 安全 类 别 时 ,主体 才能 访问 客体 。 

这 些 抽象 概念 将 体现 到 硬件 .固件 .软件 码 : 以 及 设计 ,构造 和 实施 系统 的 全 过 程 中 。 


519 最 小 特权 


一 旦 资源 和 进程 被 恰当 地 隔离 ,就 需要 实施 最 小 特权 。 这 意味 着 只 需要 为 了 满足 其 
功能 必需 的 特权 。 仅 仅 需 要 执行 关键 系统 功能 的 进程 被 允许 ,而 其 他 较 少 特权 的 进程 只 
有 当 需 要 时 才 调 用 较 高 特权 的 进程 来 执行 这 些 类 型 的 活动 。 这 种 间接 活动 的 类 型 保护 了 
系统 ,以 防止 错误 的 或 恶意 的 代码 。 进 程 需要 占有 特权 的 时 间 只 是 在 真正 需要 的 时 候 。 
当 进 程 升 高 其 特权 级 时 , 它 就 能 直接 和 敏感 信息 交互 ,任务 完成 时 ,进程 就 应 降低 到 较 低 
特权 级 ,以 确保 其 他 机 制 能 使 用 ,以 防 对 系统 产生 有 害 的 影响 。 只 有 需要 完全 特权 的 进程 
分 布 在 内 核 ,其 他 较 低 特权 的 进程 调用 它 来 处 理 敏感 的 操作 。 
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5110 分 层 、 数 据 隐蔽 和 抽象 


为 满足 一 定 的 可 信 级 ,系统 必须 提供 一 种 机 制 , 使 不 同 进程 工作 在 不 同 层 , 即 在 系统 
的 不 同 层 产 生 不 同 的 功能 。 这 需要 一 个 结构 化 的 和 层次 的 结构 ,使 基本 功能 发 生 在 较 低 
层 , 而 较 复 杂 的 、 敏 感 的 功能 在 较 高 层 , 分 层 结构 进一步 将 进程 和 资源 分 开 ,在 系统 中 加 入 
模块 化 。 层 之 间 能 够 通信 ,但 必须 通过 详细 的 接口 ,支持 系统 的 安全 集成 。 

在 某 些 场合 ,要 求 不 同 层 的 进程 不 能 通信 ,因此 不 提供 相互 通信 的 接口 。 这 种 进程 称 
为 数据 隐藏 ,在 一 个 层 的 数据 是 隐蔽 的 ,因为 在 其 他 层 的 主体 并 不 知道 该 数据 的 存在 。 假 
如 在 一 个 层 的 主体 没有 接口 能 和 另 一 层 的 数据 通信 ,那么 ,该 数据 对 那个 主体 是 隐蔽 的 。 

客体 能 组 合成 一 个 集合 , 称 为 类 。 当 一 类 客体 被 赋予 一 定 的 允许 权 , 定 义 可 接受 的 活 
动 , 称 为 抽象 。 这 使 不 同 客体 的 管理 更 加 容易 ,因为 只 需 管理 类 ,而 不 需 对 每 个 客体 进行 
管理 。 当 定义 了 一 个 类 ,所 有 在 这 个 类 内 的 客体 被 赋予 一 个 抽象 数据 类 型 , 它 是 客体 接受 
数据 及 格式 的 格式 化 的 精确 定义 ,也 是 对 其 他 客体 和 主体 处 理 数据 的 表示 。 这 提供 了 可 
预期 的 通信 方式 ,有 助 于 阻止 授权 实体 用 不 正当 的 方法 修改 客体 内 的 数据 。 例 如 ,一 个 客 
体 传递 一 个 注册 值 给 另 一 个 客体 ,必须 以 预定 的 方式 进行 ,接收 的 客体 对 超出 预定 边界 的 
值 不 子 接收 。 假 如 接收 客体 期 望 一 个 二 进 制 值 , 则 不 会 接收 十 六 进 制 值 。 这 种 限制 是 在 
客体 的 抽象 数据 类 型 中 定义 的 。 

分 层 ,数据 隐蔽 和 抽象 都 是 保护 主体 .客体 及 客体 内 的 数据 的 方法 。 这 些 概 念 是 安全 
模型 的 基本 组 成 。 


5.2 网 络 安全 体系 结构 


因为 漏洞 可 能 在 网 络 体系 结构 的 不 同 层 存在 ,厂商 \ 开 发 人 员 .管理 者 ,以 及 从 事 网 络 
安全 的 专业 人 员 有 必要 深入 了 解 网 络 的 各 个 层次 ,以 及 如 何 保护 每 个 层 。 

我 们 经 常 听 到 网 络 安全 的 层次 方案 ,也 就 是 实施 不 同 层 的 保护 ,对 不 同类 型 的 攻击 保 
护 网 络 。 什 么 是 层次 方案 的 真实 含义 呢 ? 如 何 知道 网 络 是 否 实施 了 层次 保护 计划 ? 

为 了 对 付 所 有 可 能 的 安全 危害 和 漏洞 以 保护 内 部 的 和 外 部 的 网 络 ,就 要 深入 地 研究 
和 回答 上 述 问题 。 为 了 保护 网 络 环境 ,就 需要 真正 了 解 环境 ,实施 的 补丁 ,不 同 厂商 的 应 
用 软件 和 硬件 的 区 别 , 以 及 攻击 如 何 实施 。 要 完成 安全 环境 的 过 程 是 迁 回 曲折 的 ,而 且 永 
无 止境 ,重要 的 是 深入 全 面 地 了 解 网 络 环境 。 


521 不 同 层次 的 安全 
安全 的 层次 结构 是 抽象 的 ,必须 在 理论 上 予以 表达 ,实际 上 予以 实施 。 有 了 时 层次 结构 
的 含义 是 从 网 络 不 同 的 方面 来 实施 的 。 范 围 是 很 广 的 ,包括 编程 的 码 、. 使 用 的 协议 、 操 作 
系统 ,应 用 的 配置 ,以 及 通过 用 户 的 行为 和 安全 程序 来 管理 .控制 所 有 这 些 问题 。 层 次 结 
构 表示 在 各 层次 设置 屏障 以 防止 攻击 和 威胁 。 仅 仅 在 工作 站 上 运行 防 病毒 软件 并 非 抵制 
病毒 的 层次 结构 。 必 须 在 每 个 工作 站 .文件 服务 器 、 邮 件 服务 器 ,以 及 通过 代理 服务 器 实 
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施 内 容 过 滤 才 是 抵制 病毒 的 层次 结构 。 这 是 层次 结构 的 一 个 例子 。 

对 文件 访问 提供 保护 的 层次 方案 是 怎样 的 呢 ? 假如 管理 者 将 所 有 用 户 分 成 特定 的 
组 ,并 且 指 明 哪些 组 能 访问 公司 的 一 些 文件 ,或 不 能 访问 另 一 些 文件 ,仅仅 是 层次 方案 中 
的 一 步 。 合 适 的 保护 文件 访问 ,对 文件 和 注册 访问 控制 表 的 配置 需要 对 用 户 和 用 户 组 的 
访问 权限 有 更 加 细 粒 度 的 控制 。 对 不 同 用 户 要 有 严格 的 登录 凭证 策略 ,并 且 要 强制 执行 。 
文件 访问 的 监控 和 审计 要 能 识别 任何 可 疑 的 活动 。 此 外 还 需 提供 各 种 物理 安全 的 屏障 ， 
并 和 文件 访问 控制 协同 工作 。 


522 网 络 体系 结构 的 观点 


不 同类 型 的 漏洞 攻击 ,威胁 存在 于 网 络 的 不 同 层次 。 层 次 方案 深入 研究 网 络 环境 的 
各 种 技术 及 每 一 层次 的 每 种 技术 的 复杂 性 。IP 欺骗 是 在 网 络 层 的 一 种 攻击 ,字典 攻击 则 
发 生 在 应 用 层 , 通 信和 窃听 是 在 数据 链 路 层 和 物理 层 , 各 种 病毒 的 侵入 则 是 在 应 用 层 。 假 如 
一 个 组 织 只 是 配置 防火 墙 和 严格 的 口令 规则 , 仍 有 很 多 层次 的 漏洞 可 以 被 攻击 。 

很 多 时 候 ,一 些 组 织 对 安置 的 防火 墙 . 入 侵 检测 系统 和 防 病 毒 软件 过 于 信任 ,往往 对 
管理 员 产 生 一 种 安全 的 假想 ,十 分 重要 的 是 要 看 进入 网 络 和 从 网 络 出 来 的 数据 流 , 以 及 这 
些 应 用 程序 和 设备 是 如 何 配合 工作 的 。 这 是 两 种 不 同 的 观点 ,一 种 是 网 络 体系 结构 的 观 
点 , 另 一 种 只 是 单纯 的 设备 或 应 用 程序 的 观点 。 

从 体系 结构 的 观点 ,必须 观察 出 人 的 数据 流 及 这 些 数据 是 如 何 授权 ,在 不 同 的 点 是 如 
何 监控 的 ,以 及 在 不 同 的 场合 安全 解决 方案 是 如 何 协同 工作 的 。 例 如 ,防火墙 仅仅 是 全 部 
体系 结构 的 一 部 分 ,必须 要 有 合适 的 层次 安全 结构 ,而 不 只 是 防火 墙 。 好比 一 个 好 的 管弦 
乐队 需要 配合 协调 演奏 。 即 使 每 个 单个 安全 部 件 能 保护 网 络 的 某 个 部 分 很 好 工作 ,也 不 
能 确保 这 些 安全 部 件 一 起 工作 时 相互 联系 和 通信 时 不 产生 问题 。 

每 个 网 络 环境 因 其 安装 的 硬件 .软件 .技术 和 配置 的 不 同 而 有 所 区 别 。 然 而 各 个 环境 
的 主要 区 别 在 于 要 达到 的 目标 不 同 。 局 域 网 提供 身份 认证 ,用户 资 源 及 内 部 控制 。 广 域 
网 提供 用 户 和 远程 站 点 的 连接 ,协议 转换 及 访问 控制 。 电 子 商 务 系统 提供 Internet 用 户 
到 Web 的 接口 ,后 端 服务 器 的 数据 连接 ,访问 控制 及 和 LAN,WAN 不 同 的 身份 认证 。 
这 些 不 同 的 目标 需要 用 不 同 的 体系 结构 .但 是 能 使 用 相同 的 、 基 本 的 安全 概念 。 

图 5-5 表示 在 网 络 体 系 结构 中 不 同 的 层次 可 能 发 生 的 攻击 、 漏 洞 及 防护 。 

。 防火 墙 配置 了 分 组 过 滤 , 这 是 在 网 络 层 提供 防护 , 它 抵 御 拒 绝 服务 攻击 和 碎片 
攻击 。 
代理 软件 配置 保护 应 用 层 , 它 抵御 非 授权 访问 攻击 和 分 组 欺骗 攻击 。 

。 网 络 地 址 转换 (NAT) 工 作 在 网 络 层 , 可 以 隐藏 LAN 的 IP 地 址 和 拓扑 。 

。 屏蔽 双 绞 线 (STP) 工 作 在 物理 层 , 它 可 以 防止 网 络 窃听 和 信号 干扰 。 

。 网 络 人 侵 检测 在 网 络 层 监控 已 知 的 攻击 信号 , 它 识 别 已 知 的 攻击 ,并 在 必要 时 重 
新 设置 TCP 连接 。 

。 周边 域名 服务 器 保存 了 资源 记录 ,这 是 在 应 用 层 进行 防护 。 它 保护 专用 域名 服务 

器 记录 、 网 络 映射 及 各 个 计算 机 的 信息 。 

IPSec 工作 在 网 络 层 , 为 虚拟 专用 网 (VPN) 连 接 到 周边 网 而 配置 ,可 以 为 IP 网 络 
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图 5-5 网 络 体系 结构 不 同 层次 的 安全 防护 


通信 提供 透明 的 安全 服务 ,保护 TCP/IP 通信 和 免 遭 窃听 和 算 改 ,保证 数据 的 完整 
性 和 机 密 性 ,有 效 抵御 网 络 攻击 。 

对 公共 信息 和 保密 信息 使 用 不 同 的 服务 器 进行 Web 服务 器 的 配置 是 在 应 用 层 进 
行 保护 ,以 抵御 目录 的 非 授权 访问 。 

对 所 有 周边 设备 仅仅 提供 必要 的 服务 和 端口 使 用 ,这 是 工作 在 网 络 层 。 从 而 减少 
了 网 络 进入 点 ,抵御 拒绝 服务 攻击 。 

。 邮件 服务 器 使 用 存储 转发 报 文 及 在 应 用 层 运 行 防 病毒 软件 ,这 是 抵御 病毒 和 拒绝 
服务 攻击 。 

。 安全 套 接 字 层 (SSL) 工 作 在 传输 层 , 当 客户 需要 从 Web 站 点 访问 个 人 保密 信息 ， 
可 在 Web 站 点 配置 SSL。 

。 网 络 扫描 器 对 全 部 周边 网 络 服务 器 端口 每 周 进行 扫描 ,以 识别 新 的 漏洞 ,这 是 工 
作 在 数据 链 路 层 和 网 络 层 。 这 是 防护 由 于 配置 改变 或 引入 新 的 技术 而 引起 的 新 
的 漏洞 。 

。 工作 在 应 用 层 的 Web 服务 器 ,对 扩展 标记 语言 (extensible markup language， 
XML) 码 和 分 布 部 件 目标 模型 (distributed component object model, DCOM) 的 
安全 使 用 嵌入 式 密 码 。 这 是 提供 信息 的 安全 以 及 限制 部 件 执行 冒险 动作 。 

。 工作 在 应 用 层 和 表示 层 的 Web 服务 器 需要 提供 数字 签名 以 确保 相互 间 的 合法 通 
信 。 这 是 抵御 黑客 攻击 和 各 种 欺骗 。 

上 面 只 是 列举 了 在 网 络 层 次 模型 的 不 同 点 上 可 能 发 生 的 很 少 一 部 分 事件 。 假 如 有 一 

个 或 更 多 的 设备 或 软件 有 不 正确 的 配置 .假如 网 络 环境 失去 上 述 各 组 成 成 分 之 一 ,就 为 黑 
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客 攻击 网 络 提供 可 乘 之 机 。 

很 多 环境 并 不 包含 全 部 上 述 列 出 的 对 各 种 安全 漏洞 的 解决 方案 及 设备 ,这 就 为 精明 
的 黑客 提供 了 攻击 的 可 能 。 下 面 是 一 个 实例 ,在 这 个 环境 里 已 经 设置 的 安全 防御 措施 有 
以 下 一 些 : 

分 组 过 滤 的 防火 墙 ,内 容 过 滤 的 代理 服务 器 ,公共 的 和 专用 的 DNS 记录 清楚 地 分 开 ， 
SSL 用 于 Internet 用 户 ,IPSec 用 于 VPN 连接 ,基础 设施 PKI, 以 及 严格 限制 的 服务 和 端 
口 配置 。 看 上 去 这 是 一 个 具有 坚固 的 安全 防御 的 环境 ,网 络 管理 员 似 乎 用 最 完美 的 意图 
来 实现 这 些 安全 机 制 。 然 而 ,这 种 坚固 的 防御 环境 仅仅 是 暂时 的 ,如 果 没 有 漏洞 检测 设备 
定期 监视 这 个 环境 或 没有 入 侵 检测 系统 寻找 可 疑 的 行为 ,即使 公司 花 了 大 量 的 资金 用 于 
安全 防御 措施 ,这 个 环境 仍 有 可 能 受 攻击 。 技 术 在 不 断 变化 ,网 络 环境 也 随 之 而 改变 ,新 
的 应 用 配置 ,补丁 的 应 用 、 新 的 设备 安装 都 会 引起 意 想 不 到 的 后 果 , 意 识 不 到 这 些 , 黑 客 就 
会 找到 对 付 原始 的 安全 机 制 的 办 法 。 


Ba OSI 安全 体系 结构 


OSI 安全 体系 结构 的 研究 始 于 1982 年 ,于 1988 年 完成 ,其 成 果 标 志 是 ISO 发 布 了 
ISO 7498-2 标准 ,作为 OSI 基本 参考 模型 的 补充 。 这 是 基于 OSI 参考 模型 的 七 层 协议 之 
上 的 信息 安全 体系 结构 。 它 定义 了 5 类 安全 服务 、8 种 特定 的 安全 机 制 .5 种 普遍 性 安全 
机 制 。 它 确定 了 安全 服务 与 安全 机 制 的 关系 ,以 及 在 OSI 七 层 模型 中 安全 服务 的 配置 。 
它 还 确定 了 OSI 安全 体系 的 安全 管理 。 


531 C9 安全 体系 结构 的 5 类 安全 服务 


1 鉴别 

鉴别 服务 提供 对 通信 中 的 对 等 实体 和 数据 来 源 的 鉴别 ,分 述 如 下 。 

(1) 对 等 实体 鉴别 

确认 有 关 的 对 等 实体 是 所 需 的 实体 。 这 种 服务 由 N 层 提供 时 ,将 使 N 十 1 层 实体 确 
信和 与 之 打交道 的 对 等 实体 正 是 它 所 需要 的 N 十 1 实体 。 

这 种 服务 在 连接 建立 或 在 数据 传送 阶段 的 某 些 时 刻 提供 使 用 ,用 以 证 实 一 个 或 多 个 
连接 实体 的 身份 。 使 用 这 种 服务 可 以 (仅仅 在 使 用 时 间 内 ) 确 信 : 一 个 实体 此 时 没有 试图 
冒充 (一 个 实体 伪装 为 男 一 个 不 同 的 实体 ) 别 的 实体 ,或 没有 试图 将 先前 的 连接 作 非 授权 
的 重 放 ( 出 于 非法 的 目的 而 重新 发 送 截获 的 合法 通信 数据 项 的 备份 ); 实 施 单 向 或 双向 对 
等 实体 鉴别 也 是 可 能 的 ,可 以 带 有 效 期 检验 ,也 可 以 不 带 。 这 种 服务 能 够 提供 各 种 不 同 程 
度 的 鉴别 保护 。 

(2) 数据 原 发 鉴别 

确认 接收 到 的 数据 的 来 源 是 所 要 求 的 。 这 种 服务 当 由 N 层 提 供 时 ,将 使 N 十 1 实体 
确信 数据 来 源 正 是 所 要 求 的 对 等 N 十 1 实体 。 数 据 原 发 鉴别 服务 对 数据 单元 的 来 源 提供 
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确认 。 这 种 服务 对 数据 单元 的 重 放 或 自 改 不 提供 鉴别 保护 。 


2 访问 控制 

防止 对 资源 的 未 授权 使 用 ,包括 防止 以 未 授权 方式 使 用 某 一 资源 。 这 种 服务 提供 保护 
以 对 付 开 放 系 统 互 连 可 访问 资源 的 非 授权 使 用 。 这 些 资源 可 以 是 经 开放 系统 互 连 协议 访问 
到 的 OSI 资源 或 非 OSI 资源 。 这 种 保护 服务 可 应 用 于 对 资源 的 各 种 不 同类 型 的 访问 (如 使 
用 通信 资源 . 读 写 或 删除 信息 资源 ,处 理 资源 的 操作 ) ,或 应 用 于 对 某 种 资源 的 所 有 访问 。 

这 种 访问 控制 要 与 不 同 的 安全 策略 协调 一 致 


3 数据 机 密 性 

这 种 服务 对 数据 提供 保护 ,使 之 不 被 非 授 权 地 泄露 。 具 体 分 为 以 下 几 种 : 

(1) 连接 机 密 性 

这 种 服务 为 一 次 N 连接 上 的 全 部 N 用 户 数据 保证 其 机 密 性 。 但 对 于 某 些 使 用 中 的 
数据 ,或 在 某 些 层次 上 ,将 所 有 数据 (例如 加 速 数据 或 连接 请 求 中 的 数据 ?都 保护 起 来 反而 
是 不 适宜 的 。 

(2) 无 连接 机 密 性 

这 种 服务 为 单个 无 连接 的 N-SDU(N 层 服务 数据 单元 ) 中 的 全 部 N 用 户 数据 提供 机 
密 性 保护 。 

(3) 选择 字段 机 密 性 

这 种 服务 为 那些 被 选择 的 字段 保证 其 机 密 性 ,这 些 字段 或 处 于 N 连接 的 N 用 户 数据 
中 ,或 为 单个 无 连接 的 N-SDU 中 的 字段 。 

(4) 通信 业务 流 机 密 性 

这 种 服务 提供 的 保护 ,使 得 无 法 通过 观察 通信 业务 流 推 断 出 其 中 的 机 密 信息 。 


4 数据 完整 性 

这 种 服务 对 付 主动 威胁 。 在 一 次 连接 上 ,连接 开始 时 使 用 对 某 实 体 的 鉴别 服务 ,并 在 
连接 的 存活 期 使 用 数据 完整 性 服务 就 能 联合 起 来 为 在 此 连接 上 传送 的 所 有 数据 单元 的 来 
源 提供 确证 ,为 这 些 数据 单元 的 完整 性 提供 确证 ,例如 ,使 用 顺序 号 可 为 数据 单元 的 重 放 
提供 检测 。 数 据 完整 性 可 分 为 以 下 几 种 : 

(1) 带 恢复 的 连接 完整 性 

这 种 服务 为 N 连接 上 的 所 有 N 用 户 数据 保证 其 完整 性 ,并 检测 整个 SDU 序列 中 的 
数据 遭 到 的 任何 自 改 插入、 删除 或 同时 进行 补救 或 恢复 。 

(2) 无 恢复 的 连接 完整 性 

与 上 款 的 服务 相同 ,只 是 不 做 补救 或 恢复 。 

(3) 选择 字段 的 连接 完整 性 

这 种 服务 为 在 一 次 连接 上 传送 的 N-SDU 的 N 用 户 数据 中 的 选择 字段 保证 其 完整 
性 ,所 取 形 式 是 确定 这 些 被 选 字段 是 否 遭 受 了 自 改 、 插 入、 删除 或 不 可 用 。 

(4) 无 连接 完整 性 

这 种 服务 当 由 N 层 提供 时 ,对 发 出 请 求 的 那个 N 十 1 实体 提供 了 完整 保护 。 
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这 种 服务 为 单个 的 无 连接 的 SDU 保证 其 完整 性 ,所 取 形 式 可 以 是 一 个 接收 到 的 
SDU 是 否 遭 受 了 自 改 。 此 外 ,在 一 定 程度 上 也 能 提供 对 连接 重 放 的 检测 。 

(5) 选择 字段 无 连接 完整 性 

这 种 服务 为 单个 连接 上 的 SDU 中 的 被 选 字段 保证 其 完整 性 ,所 取 形 式 为 被 选 字段 是 
否 章 受 了 算 改 。 


5 抗 否 认 

这 种 服务 可 取 如 下 两 种 形式 ,或 两 者 之 一 : 

(1) 有 数据 原 发 证 明 的 抗 否 认 

为 数据 的 接收 者 提供 数据 的 原 发 证 据 。 这 将 使 发 送 者 不 承认 未 发 送 过 这 些 数据 或 否 
认 其 内 容 的 企图 不 能 得 偿 。 

(2) 有 交付 证 明 的 抗 否认 

为 数据 的 发 送 者 提供 数据 交付 证 据 。 这 将 使 接收 者 事后 不 承认 收 到 过 这 些 数 据 或 否 
认 其 内 容 的 企图 不 能 得 偿 。 
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1 特定 的 安全 机 制 
本 节 所 列 的 8 种 安全 机 制 可 以 设置 在 适当 的 N 层 上 ,以 提供 OSI 安全 体系 结构 的 某 
些 安全 服务 ,分 述 如 下 。 
(1) 加 密 机 制 
对 数据 进行 密码 变换 以 产生 密 文 。 加 密 可 以 是 不 可 逆 的 ,在 这 种 情况 下 ,相应 的 解密 
过 程 便 不 能 实现 了 。 
加 密 既 能 为 数据 提供 机 密 性 ,也 能 为 通信 业务 流 信息 提供 机 密 性 ,并 且 是 其 他 安 
全 机 制 中 的 一 部 分 或 对 安全 机 制 起 补充 作用 。 
大 多 数 应 用 不 要 求 在 多 个 层 加 密 , 加 密 层 的 选取 主要 取决 于 下 列 几 个 因素 : 
。 如 果 要 求全 通信 业务 流 机 密 性 ,那么 将 选取 物理 层 加 密 , 或 传输 安全 手段 (如 适当 
的 扩 频 技术 )。 足 够 的 物理 安全 ,可 信任 的 路 由 选择 及 在 中 继 上 的 类 似 机 制 能 够 
满足 所 有 的 机 密 性 要 求 。 
。 如 果 要 求 细 粒度 保护 ( 即 对 不 同 应 用 提供 不 同 的 密 钥 ), 和 抗 否认 或 选择 字段 保 
护 , 那 么 将 选取 表示 层 加 密 。 由 于 加 密 算法 耗费 大 量 的 处 理 能 力 , 所 以 选择 字段 
保护 是 很 重要 的 。 在 表示 层 中 的 加 密 能 提供 不 带 恢 复 的 完整 性 、 抗 否认 以 及 所 有 
的 机 密 性 。 
。 如 果 和 希望 实现 所 有 端 系统 到 端 系统 通信 的 简单 块 保护 ,或 希望 有 一 个 外 部 的 加 密 
设备 (例如 ,为 了 给 算法 和 密 钥 加 物理 保护 ,或 防止 错误 软件 ) ,那么 将 选取 网 络 层 
加 密 。 这 能 够 提供 机 密 性 与 不 带 恢复 的 完整 性 。 虽 然 在 网 络 层 不 提供 恢复 ,但 传 
输 层 的 正常 的 恢复 机 制 能 够 恢复 网 络 层 检测 到 的 攻击 。 
。， 如 果 要 求 带 恢复 的 完整 性 ,同时 又 具有 细 粒 度 保护 ,那么 将 选取 传输 层 加 密 。 这 
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能 提供 机 密 性 、 带 恢复 的 完整 性 或 不 带 恢 复 的 完整 性 。 
。 对 于 今后 的 实施 ,不 推荐 在 数据 链 路 层 上 加 密 。 
当 关系 到 这 些 主要 因素 中 的 两 项 或 多 项 时 ,可 能 需要 在 多 个 层 上 提供 加 密 。 
@ 加 密 算 法 可 以 是 可 逆 的 ,也 可 以 是 不 可 逆 的 。 
可 逆 加 密 算 法 有 两 大 类 : 
。 对 称 ( 即 秘密 密 钥 ) 加 密 。 对 于 这 种 加 密 ,知道 了 加 密 密 钥 也 就 意味 着 知道 了 解密 
密 钥 ;反之 亦 然 。 
。 非 对 称 ( 即 公开 密 钥 ) 加 密 。 对 于 这 种 加 密 ,知道 了 加 密 密 钥 并 不 意味 着 也 知道 了 
解密 密 钥 ;反之 亦 然 。 
不 可 道 加 密 算法 可 以 使 用 密 钥 ,也 可 以 不 使 用 。 若 使 用 密 钥 , 密 钥 可 以 是 公开 的 ,也 
可 以 是 秘密 的 。 
@ 除了 某 些 不 可 逆 加 密 算 法 的 情况 外 ,加 密 机 制 的 存在 便 意 味 着 要 使 用 密 钥 管理 机 
制 。 密 钥 管理 方法 上 的 一 些 准 则 将 在 第 18 章 中 给 出 。 
(2) 数字 签名 机 制 
数字 签名 是 附加 在 数据 单元 上 的 一 些 数 据 ,或 是 对 数据 单元 所 作 的 密码 变换 ,这 种 数 
据 或 变换 允许 数据 单元 的 接收 者 确认 数据 单元 来 源 和 数据 单元 的 完整 性 ,并 保护 数据 , 防 
止 被 人 (例如 接收 者 ) 伪 造 。 
数字 签名 机 制 确定 两 个 过 程 : 对 数据 单元 签名 、 验 证 签 过 名 的 数据 单元 。 
第 一 个 过 程 使 用 签名 者 所 私有 的 ( 即 独 有 的 和 机 密 的 ) 信 息 。 第 二 个 过 程 所 用 的 规程 
与 信息 是 公之于众 的 ,但 不 能 从 它们 推断 出 该 签名 者 的 私有 信息 。 
数字 签名 机 制 具 有 如 下 特点 : 
Q@ 签名 过 程 使 用 签名 者 的 私有 信息 作为 私 钥 ,或 对 数据 单元 进行 加 密 , 或 产生 出 该 
数据 单元 的 一 个 密码 校 验 值 。 
@ 验证 过 程 使 用 公开 的 规程 与 信息 来 决定 该 签名 是 否 是 用 签名 者 的 私有 信息 产 
生 的 。 
@ 签名 机 制 的 本 质 特 征 为 该 签名 只 有 使 用 签名 者 的 私有 信息 才能 产生 出 来 。 因 而 ， 
当 该 签名 得 到 验证 后 , 它 能 在 事后 的 任何 时 候 向 第 三 方 (例如 法 官 或 仲裁 人 ) 证 明 只 有 那 
个 私有 信息 的 唯一 拥有 者 才能 产生 这 个 签名 。 
(3) 访问 控制 机 制 
为 了 决定 和 实施 一 个 实体 的 访问 权 , 访 问 控制 机 制 可 以 使 用 该 实体 已 鉴别 的 身份 ,或 
使 用 有 关 该 实体 的 信息 (例如 它 与 一 个 已 知 的 实体 集 的 从 属 关 系 ) ,或 使 用 该 实体 的 权利 。 
如 果 这 个 实体 试图 使 用 非 授 权 的 资源 ,或 者 以 不 正当 方式 使 用 授权 资源 ,那么 访问 控制 功 
能 将 拒绝 这 一 企图 ,另外 还 可 能 产生 一 个 报警 信号 或 记录 它 作为 安全 审计 跟踪 的 一 个 部 
分 来 报告 这 一 事件 。 对 于 无 连接 数据 传输 ,发 给 发 送 者 的 拒绝 访问 的 通知 只 能 作为 强加 
于 原 发 的 访问 控制 结果 而 被 提供 。 
访问 控制 机 制 可 以 使 用 下 列 一 种 或 多 种 手段 。 
Q@ 访问 控制 信息 库 : 保存 对 等 实体 的 访问 权限 。 信 息 可 以 由 授权 中 心 保存 ,或 由 正 
被 访问 的 那个 实体 保存 。 信 息 的 形式 可 以 是 一 个 访问 控制 表 . 或 是 等 级 结构 的 和 矩阵。 使 
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用 这 一 手段 要 预先 假定 对 等 实体 的 鉴别 已 得 到 保证 。 

@ 鉴别 信息 : 例如 口令 ,对 这 一 信息 的 占有 和 出 示 便 证 明正 在 进行 访问 的 实体 已 被 
授权 。 

@ 权利 : 对 它 的 占有 和 出 示 便 证 明 有 权 访 问 由 该 权利 所 规定 的 实体 或 资源 ,权利 应 
是 不 可 伪造 的 并 以 可 信赖 的 方式 进行 运送 。 

@ 安全 标记 : 当 与 一 个 实体 相关 联 时 ,这 种 安全 标记 可 用 来 表示 同意 或 拒绝 访问 ， 
通常 根据 安全 策略 而 定 。 

访问 控制 机 制 可 应 用 于 通信 联系 中 的 端点 ,或 应 用 于 任 一 中 间 点 。 涉 及 原 发 点 或 任 
一 中 间 点 的 访问 控制 ,是 用 来 决定 发 送 者 是 否 被 授权 与 指定 的 接收 者 进行 通信 ,或 是 否 被 
授权 使 用 所 要 求 的 通信 资源 。 

在 无 连接 数据 传输 目的 端 上 的 对 等 级 访问 控制 机 制 的 要 求 在 原 发 点 必须 事先 知道 ， 
还 必须 记录 在 安全 管理 信息 库 中 。 

(4) 数据 完整 性 机 制 

数据 完整 性 有 两 个 方面 : 单个 数据 单元 或 字段 的 完整 性 和 数据 单元 流 或 字段 流 的 完 
整 性 。 一 般 来 说 ,用 来 提供 这 两 种 类 型 完整 性 服务 的 机 制 是 不 相同 的 。 

决定 单个 数据 单元 的 完整 性 涉及 两 个 过 程 ,一 个 在 发 送 实体 上 ,一 个 在 接收 实体 上 。 
发 送 实体 给 数据 单元 附加 一 个 量 , 这 个 量 为 该 数据 的 函数 。 这 个 量 可 以 是 分 组 校 验 码 那 
样 的 补充 信息 ,或 是 一 个 密码 校 验 值 , 而 且 它 本 身 可 以 被 加 密 。 接 收 实体 产生 一 个 相应 的 
量 , 确 定 这 个 量 中 的 数据 是 否 在 传送 中 被 算 改 过 。 单 靠 这 种 机 制 不 能 防止 单个 数据 单元 
的 重 放 。 在 网 络 体系 结构 的 适当 层 上 ,操作 检测 可 能 在 本 层 或 较 高 层 上 起 到 恢复 作用 ( 例 
如 , 重 传 或 纠 错 ) 。 

对 于 连接 方式 数据 传送 ,保护 数据 单元 序列 的 完整 性 ( 即 防止 乱 序 、. 数 据 的 丢失 、 重 
放 ,、 插 入 或 算 改 ) 男 外 还 需要 某 种 明显 的 排序 形式 ,如 顺序 号 ,时间 标记 或 密码 链 。 

对 于 无 连接 数据 传送 ,时 间 标 记 可 以 用 来 在 一 定 程度 上 提供 保护 ,防止 个 别 数据 单元 
的 重 放 。 

(5) 鉴别 交换 机 制 

可 用 于 鉴别 交换 的 一 些 技术 : 使 用 鉴别 信息 (例如 口令 ), 由 发 送 实 体 提供 而 由 接收 
实体 验证 ;密码 技术 ;使 用 该 实体 的 特征 或 占有 物 。 

这 种 机 制 可 设置 在 N 层 以 提供 对 等 实体 鉴别 。 如 果 在 鉴别 实体 时 ,这 一 机 制 得 到 否 
定 的 结果 ,就 会 导致 连接 的 拒绝 或 终止 ,也 可 能 使 在 安全 审计 跟踪 中 增加 一 个 记录 ,或 给 
安全 管理 中 心 一 个 报告 。 

当 采 用 密码 技术 时 ,这 些 技 术 可 以 与 “握手 ”协议 结合 起 来 以 防止 重 放 ( 即 确 保存 
活期 )。 

鉴别 交换 技术 的 选用 取决 于 使 用 它们 的 环境 。 在 许多 场合 ,它们 必须 与 下 列 各 项 结 
合 使 用 : 时 间 标 记 与 同步 时 钟 ;双方 握手 和 三 方 握手 (分 别 对 应 于 单方 鉴别 和 相互 鉴别 ); 
由 数字 签名 和 公证 机 制 实现 的 抗 否认 服务 。 

(6) 通信 业务 填充 机 制 

通信 业务 填充 机 制 能 用 来 提供 各 种 不 同 级 别 的 保护 ,对 抗 通信 业务 分 析 。 这 种 机 制 
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只 有 在 通信 业务 填充 受到 机 制服 务 保护 时 才 是 有 效 的 。 

(7) 路 由 选择 控制 机 制 

路 由 选择 控制 机 制 具有 以 下 特点 : 

@ 路 由 能 动态 地 或 预定 地 选取 ,以 便 只 使 用 物理 上 安全 的 子 网 络 .中 继 站 或 链 路 。 

@ 在 检测 到 持续 的 操作 攻击 时 , 端 系统 可 以 指示 网 络 服务 的 提供 者 经 不 同 的 路 由 建 
立 连 接 。 

@ 带 有 某 些 安全 标记 的 数据 可 能 被 安全 策略 禁止 通过 某 些 子 网 络 ,中继站 或 链 路 。 
连接 的 发 起 者 (或 无 连接 数据 单元 的 发 送 者 ) 可 以 指定 路 由 选择 说 明 , 由 它 请 求 回避 某 些 
特定 的 子 网 络 .中 继 站 或 链 路 。 

(8) 公证 机 制 

有 关 在 两 个 或 多 个 实体 之 间 通 信 的 数据 的 性 质 ,如 它 的 完整 性 、 原 发 .时 间 和 目的 地 
等 能 够 借助 公证 机 制 得 到 确保 。 这 种 保证 是 由 第 三 方 公证 人 提供 的 。 公 证 人 为 通信 实体 
所 信任 ,并 掌握 必要 信息 以 一 种 可 证 实 方式 提供 所 需 的 保证 。 每 个 通信 事例 可 使 用 数字 
签名 .加 密 和 完整 性 机 制 以 适应 公证 人 提供 的 那 种 服务 。 当 这 种 公证 机 制 被 用 到 时 ,数据 
便 在 参与 通信 的 实体 之 间 经 由 受 保 护 的 通信 实体 和 公证 方 进行 通信 。 


2 普遍 性 安全 机 制 

普遍 性 安全 机 制 不 是 为 任何 特定 的 服务 而 特 设 的 ,因此 ,在 任 一 特定 的 层 上 ,对 它们 
都 不 作 明 确 的 说 明 。 某 些 普遍 性 安全 机 制 可 认为 属于 安全 管理 方面 。 普 遍 性 安全 机 制 可 
分 为 以 下 几 种 。 

(1) 可 信 功 能 度 

可 信和 功能 度 可 以 扩充 其 他 安全 机 制 的 范围 ,或 建立 这 些 安全 机 制 的 有 效 性 ;可 以 保证 
对 硬件 与 软件 寄托 信任 的 手段 已 超出 本 标准 的 范围 ,而 且 在 任何 情况 下 ,这 些 手 段 随 已 察 
觉 到 的 威胁 的 级 别 和 被 保护 信息 的 价值 而 改变 。 一 般 说 来 ,这 些 手段 的 代价 高 而 且 难 以 
实现 。 解 决 办 法 是 选取 一 个 体系 结构 , 它 允 许 安全 功能 在 一 些 模 块 中 实现 ,这 些 模 块 能 与 
非 安全 功能 分 开 来 制作 ,并 由 非 安 全 功能 来 提供 。 

应 用 于 一 个 层 而 对 该 层 之 上 的 联系 所 作 的 任何 保护 必须 由 另外 的 手段 来 提供 ,例如 
通过 适当 的 可 信 功 能 度 。 

(2) 安全 标记 

安全 标记 蚌 与 某 一 资源 (可 以 是 数据 单元 ) 密 切 相 关联 的 标记 ,为 该 资源 命名 或 指定 
安全 属性 (这 种 标记 或 约束 可 以 是 明显 的 ,也 可 以 是 隐 含 的 ) 。 

包含 数据 项 的 资源 可 能 具有 与 这 些 数据 相关 联 的 安全 标记 ,例如 指明 数据 敏感 性 级 
别 的 标记 。 常 常 必 须 在 传送 中 与 数据 一 起 运送 适当 的 安全 标记 。 安 全 标记 可 能 是 与 被 传 
送 的 数据 相连 的 附加 数据 ,也 可 能 是 隐 含 的 信息 。 例 如 ,使 用 一 个 特定 密 钥 加 密 数 据 所 隐 
含 的 信息 ,或 由 该 数据 的 上 下 文 所 隐 含 的 信息 。 明 显 的 安全 标记 必须 是 清晰 可 辨 的 ,以 便 
对 它们 作 适 当 的 验证 。 此 外 ,它们 还 必须 安全 可 靠 地 依附 于 与 之 关联 的 数据 。 

(3) 事件 检测 

与 安全 有 关 的 事件 检测 包括 对 安全 明显 事件 的 检测 ,也 可 以 包括 对 “正常 "事件 的 检 
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测 ,例如 ,一 次 成 功 的 访问 (或 注册 )。 与 安全 有 关 的 事件 的 检测 可 由 OSI 内 部 含有 安全 
机 制 的 实体 来 做 。 构 成 一 个 事件 的 技术 规范 由 事件 处 置 管理 来 维护 。 对 各 种 安全 事件 的 
检测 ,可 能 引起 一 个 或 多 个 如 下 动作 : 在 本 地 报告 这 一 事件 ;远程 报告 这 一 事件 ;对 事件 
作 记 录 ;进行 恢复 。 这 种 安全 事件 的 例子 为 : 特定 的 安全 侵害 ;特定 的 选择 事件 ;对 事件 
发 生 次 数 计数 的 溢出 。 

这 一 领域 的 标准 化 将 考虑 对 事件 报告 与 事件 记录 有 关 信 息 的 传输 ,以 及 为 了 传输 事 
件 报告 与 事件 记录 所 使 用 的 语法 和 语义 的 定义 。 

(4) 安全 审计 跟踪 

安全 审计 就 是 对 系统 的 记录 与 行为 进行 独立 的 评估 考查 ,目的 是 测试 系统 的 控制 是 
否 恰当 ,保证 与 既定 策略 和 操作 的 协调 一 致 ,有 助 于 做 出 损害 评估 ,以 及 对 在 控制 .策略 与 
规程 中 指明 的 改变 做 出 评价 。 其 目的 在 于 : 

QO 安全 审计 跟踪 提供 了 一 种 不 可 忽视 的 安全 机 制 , 它 的 潜在 价值 在 于 经 事后 的 安全 
审计 可 以 检测 和 调查 安全 的 漏洞 。 安 全 审计 要 求 在 安全 审计 跟踪 中 记录 有 关 安 全 的 信 
息 , 分 析 和 报告 从 安全 审计 跟踪 中 得 来 的 信息 。 这 种 日 志 或 记录 被 认为 是 一 种 安全 机 制 
并 予以 描述 ,而 把 分 析 和 报告 视 为 一 种 安全 管理 功能 。 

@ 搜集 审计 跟踪 的 信息 ,通过 列举 被 记录 的 安全 事件 的 类 别 ( 例 如 对 安全 要 求 的 明 
显 违反 或 成 功 操作 的 完成 ) ,能 适应 各 种 不 同 的 需要 。 安 全 审计 可 对 某 些 潜在 的 侵犯 安全 
的 攻击 源 起 到 威慑 作用 。 

@ OSI 安全 审计 跟踪 将 考虑 要 选择 记录 什么 信息 、 在 什么 条 件 下 记录 信息 ,以 及 为 
了 交换 安全 审计 跟踪 信息 所 采用 的 语法 和 语义 定义 。 

(5) 安全 恢复 

安全 恢复 处 理 来 自 诸如 事件 处 置 与 管理 功能 等 机 制 的 请 求 , 并 把 恢复 动作 当 作 应 用 
一 组 规则 的 结果 。 人 恢复 动作 可 能 有 3 种 : 立即 动作 ,可 能 造成 操作 的 立即 放弃 ,如 断 开 ， 
暂时 动作 ,可 能 使 一 个 实体 暂时 无 效 ; 长 期 动作 ,可 能 是 把 一 个 实体 记 入 “ 黑 名 单 ”, 或 改变 
密 钥 。 

对 于 标准 化 的 课题 包括 恢复 动作 的 协议 ,以 及 安全 恢复 管理 的 协议 。 


533 三 维 信息 系统 安全 体系 结构 框架 


一 个 三 维 的 信息 系统 安全 体系 结构 框架 反映 了 信息 系统 安全 需求 和 体系 结构 的 共 
性 ,如 图 5-6 所 示 。 证 必 
图 中 的 三 维特 性 分 别 是 安全 特性 .系统 单 
元 及 开放 系统 互 连 参考 模型 。 
安全 特性 是 基于 ISO 7498-2 的 5 种 安全 服 
务 ,包括 身份 鉴别 .访问 控制 .数据 保密 、 数 据 完 安全 特性 
整 .不 可 抵赖 ,以 及 审计 管理 及 可 用 性 。 不 同 的 
安全 政策 .不 同安 全 等 级 的 系统 可 有 不 同 的 安 。 系统 单元 
全 特性 需求 。 图 5-6 信息 系统 安全 体系 结构 框架 
系统 单元 包括 信息 处 理 单元 、 网 络 系统 、 安 
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全 管理 及 物理 和 行政 的 环境 。 信 息 处 理 单元 由 端 系统 和 中 继 系统 (网 桥 .路 由 器 等 ) 组 成 。 
端 系统 的 安全 体系 结构 要 支持 具有 不 同 政策 的 多 个 安全 域 , 安 全 域 是 指 用 户 ,用户 的 信息 
客体 及 安全 策略 的 集合 。 通 过 物理 和 行政 的 安全 管理 体制 提供 安全 的 本 地 用 户 环境 以 保 
护 硬 件 ; 通 过 防 干 扰 、 防 辐射 .容错 、 检 错 等 手段 实现 硬件 对 软件 的 保护 ;提供 用 户 身份 认 
证 .访问 控制 等 机 制 实现 软件 对 信息 的 保护 。 

通信 网 络 的 安全 为 传输 中 的 信息 提供 保护 ,支持 信息 共享 和 分 布 处 理 。 通 信 网 络 系 
统 安 全 支持 包括 安全 通信 协议 .密码 支持 .安全 管理 应 用 进程 .安全 管理 信息 库 和 分 布 式 
管理 系统 等 。 通 信和 网 络 安全 要 提供 开放 系统 通信 环境 下 的 通信 业务 流 安全 。 

ISO 7498-2 制定 了 有 关 安 全 管理 的 机 制 , 包 括 安全 域 的 设置 和 管理 ,安全 管理 信息 
库 、 安 全 管理 信息 的 通信 ,安全 管理 应 用 程序 协议 及 安全 机 制 与 服务 管理 。 

物理 环境 与 行政 管理 安全 包括 人 员 管 理 与 物理 环境 管理 ,行政 管理 与 环境 安全 服务 
配置 和 机 制 及 系统 管理 员 职 责 等 。 


8 ISO/IEC 网 络 安全 体系 结构 


541 ISOIEC 安 全 体系 结构 参考 模型 


ISOCThe International Organization for Standardization) 和 IEC( The International 
Electrotechnical Commission)18028-2 定义 了 一 个 标准 安全 结构 ,描述 支持 网 络 安全 规 
划 、` 设 计 和 实施 的 一 致 框架 ,以 提供 端 到 端的 网 络 安全 。 该 结构 能 应 用 到 考虑 端 到 端 安全 
的 各 种 网 络 ,并 独立 于 网 络 的 实施 技术 。 

定义 网 络 安 全 参考 结构 应 对 服务 提供 者 \ 企 业 、 消 费 者 所 面临 的 全 球 安全 挑战 ,可 适用 
于 任何 类 型 的 现代 网 络 ,包括 无 线 、 光 纤 、 语 音 、 数 据 和 综合 业务 网 ,关注 网 络 基 础 设施 、 服 务 
和 应 用 的 管理 ,控制 和 使 用 的 安全 。 参 考 结构 提 供 了 一 个 综合 的 、 自 上 而 下 的 、 端 到 端的 网 
络 安 全 视角 ,能 应 用 到 各 种 综合 的 网 络 部 件 、 服 务 和 应 用 以 预测 ,检测 和 校正 网 络 脆 弱 性 。 

参考 结构 将 一 组 复杂 的 端 到 端 网 络 安全 相关 的 特性 逻辑 上 分 解 成 各 个 结构 组 成 ,从 
而 生成 端 到 端 安全 的 有 序 的 方案 , 既 可 用 于 评估 生成 现存 网 络 的 安全 ,也 可 用 于 规划 新 的 
安全 方案 。 

安全 体系 结构 参考 模型 由 3 个 结构 组 件 构 成 : 

。 安全 维 (security dimensions); 

。 安全 层 (security layers); 

。 安全 面 (security planes) 。 


1. 安全 维 

在 风险 管理 进程 中 ,确定 合适 的 安全 度量 来 管理 或 缓解 评估 的 风险 ,安全 维 列 出 了 一 
组 安全 度量 ,这 些 安全 度量 用 于 实施 网 络 安全 的 某 一 特定 方面 的 安全 控制 措施 。 安 全 维 
的 概念 不 仅 限 于 网 络 , 对 相关 的 应 用 或 最 终 用 户 也 是 有 用 的 。 安 全 维 包括 以 下 8 个 方面 : 

QO 访问 控制 ; 
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@ 身份 鉴别 ; 

@ 不 可 否认; 

@ 数据 保密 ; 

@ 通信 流 安全 ， 

@ 数据 完整 性 ; 

@ 可 用 性 ; 

@ 隐私 。 

合适 的 设计 和 实施 安全 维 来 支持 安全 策略 ,而 安全 策略 是 对 特定 的 网 络 和 设施 定义 
的 一 组 规则 的 集合 ,并 用 于 安全 管理 。 

2 安全 层 

为 了 提供 端 到 端的 安全 解决 方案 ,安全 维 必须 应 用 到 网 络 设备 和 设施 的 层次 结构 上 ， 
称 为 安全 层 。 参 考 安 全 体系 结构 定义 了 3 个 层 : 

中 基础 设施 安全 层 ; 

@ 服务 安全 层 ; 

@ 应 用 安全 层 。 

安全 层 提 供 网 络 安全 的 层次 解决 方案 ,基础 设施 安全 层 支 持 服务 安全 层 ,而 服务 安全 
层 支 持 应 用 安全 层 。 参 考 安全 体系 结构 论述 了 每 个 层 有 不 同 的 安全 脆弱 性 以 及 各 种 潜在 
的 安全 威胁 。 安 全 层 的 含义 和 OSI 有 关 , 但 是 有 不 同 的 含义 。 

安全 层 表 示 在 产品 的 何 处 必须 考虑 安全 ,并 且 提 供 网 络 的 有 序 解决 方案 。 例 如 ,首先 
考虑 基础 设施 安全 层 的 安全 脆弱 性 ,然后 是 服务 安全 层 , 最 后 才 是 应 用 安全 层 的 安全 脆弱 
性 。 而 安全 维 是 在 每 个 安全 层 需 要 解决 的 范围 。 图 5-7 表示 每 个 安全 维 的 机 制 如 何 应 用 
到 安全 层 , 以 降低 每 层 的 脆弱 性 ,从 而 缓解 安全 攻击 。 


安全 层 
应 用 安全 层 
服务 安全 层 
基础 设施 安全 层 一 安全 维 
访 身 不 数 通 数 可 隐 
问 份 可 据 信 据 用 私 
控 鉴 否 保 流 完 人 性 
制 别 认 密 安 整 
全 性 


图 5-7 安全 维 应 用 到 安全 层 


基础 设施 安全 层 由 网 络 传输 设备 和 各 个 网 络 部 件 组 成 ,后 者 由 实施 安全 维 的 机 制 保 
护 。 基 础 设施 安全 层 包 括 网 络 的 基本 组 成 部 件 及 其 服务 和 应 用 。 例 如 ,属于 基础 设施 安 
全 层 的 组 件 是 各 个 路 由 器 ,交换 机 、 服 务 器 及 在 各 个 路 由 器 、 交 换 机 和 服务 器 之 间 的 通信 
链 路 。 

服务 安全 层 涉 及 服务 提供 者 给 客户 提供 的 服务 安全 。 这 些 服务 包括 从 基本 的 传输 和 
连接 服务 到 为 了 提供 Internet 访问 必需 的 一 些 服 务 ( 也 就 是 身份 鉴别 ,授权 、 账 户 服务 、 动 
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态 主 机 配置 服务 和 域名 服务 等 ), 以 及 诸如 VPN .QoS 等 增值 服务 。 服 务 安全 层 用 来 保护 
服务 提供 者 及 其 客户 ,两 者 都 是 安全 威胁 的 可 能 目标 。 例 如 ,攻击 者 企图 拒绝 服务 提供 者 
提供 服务 的 能 力 ,或 者 企图 破坏 服务 提供 者 的 一 些 客户 的 服务 。 应 用 安全 层 集 中 在 服务 
提供 者 客户 访问 的 基于 网 络 应 用 的 安全 。 这 些 应 用 包括 基本 的 文件 传送 FTP 和 Web 浏 
览 应 用 ,诸如 目录 帮助 .基于 网 络 的 语音 消息 和 电子 邮件 等 基本 应 用 ,以 及 诸如 客户 关系 
管理 .电子 商务 .基于 网 络 的 培训 和 视频 合作 等 高 端 应 用 。 基 于 网 络 的 应 用 可 以 由 第 三 方 
应 用 服务 提供 者 (ASPs) 提 供 。 在 这 层 有 4 个 安全 攻击 的 潜在 目标 ,包括 应 用 用 户 、 应 用 
提供 者 .由 第 三 方 集成 者 提供 的 中 间 件 及 服务 提供 者 。 


3 安全 面 

安全 面 是 为 实施 安全 维 的 机 制 所 保护 的 某 种 类 型 的 网 络 活动 。 参 考 结构 定义 了 3 个 
安全 面 , 表 示 作 用 在 网 络 的 3 种 保护 活动 的 类 型 : 

Qa 管理 安全 面 ; 

@ 控制 安全 面 ; 

@ 最 终 用 户 安全 面 。 

这 些 安全 面 涉及 和 网 络 管理 活动 .网 络 控 制 或 信 令 活动 及 最 终 用 户 相 关 的 活动 的 特 
定 的 安全 需求 。 

网 络 应 该 设计 成 一 个 安全 面 的 活动 尽 可 能 独立 于 另 一 个 安全 面 的 活动 。 例 如 ,由 最 
终 用 户 请 求 引 起 的 最 终 用 户 安全 面 的 DNS 查找 的 淹没 不 应 该 锁 住 管理 安全 面 的 OAM/ 
SP 接口 ,从 而 允许 管理 者 来 处 理 该 问题 。 

图 5-8 表示 包括 各 安全 面 的 参考 结构 ,每 种 网 络 安全 活动 有 其 特定 的 安全 需求 。 安 
全 面 的 概念 允许 对 相关 的 活动 和 能 力 的 独立 性 考虑 特定 的 安全 的 差异 。 例 如 ,VoIP 服务 
是 由 服务 安全 层 处 理 ,而 VoIP 服务 的 管理 安全 是 独立 于 服务 的 控制 安全 (诸如 SIP 协 
议 ), 也 独立 于 最 终 用 户 要 传送 的 数据 ( 即 用 户 的 声音 ) 的 安全 。 


安全 层 
应 用 安全 层 
服务 安全 层 

基础 设施 安全 层 


访 身 不 数 数 可 隐 
管理 安全 面 间 估 可 夸 信 揭 用 到 
控 鉴 否 保 流 完 
控制 安全 面 守 丰 人 考生 
最 终 用 户 安全 面 全 性 
安全 面 


图 5-8 反映 不 同 网 络 活动 类 型 的 安全 面 


管理 安全 面 是 考虑 保护 各 网 络 部 件 传输 设施 .后 备 系统 (运行 支持 系统 .业务 支持 系 
统 、 客 户 提示 系统 ) 及 数据 中 心 的 OAM/SP 功能 。 管 理 安全 面 支持 故障 能力、 管理 、 规 
定 和 安全 功能 。 控 制 安全 面 是 考虑 保护 能 在 网 上 有 效 传递 信息 、 服 务 和 应 用 的 活动 。 例 
如 ,对 机 器 到 机 器 的 信息 通信 应 允许 路 由 器 .交换 机 决定 如 何在 传输 网 上 最 佳 的 路 由 和 交 
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换 通信 。 这 类 信息 常常 归结 为 控制 或 信 令 信息 。 网 络 携带 这 类 信息 可 以 是 进入 的 
(in-band) ,或 出 去 的 (out-of-band) ,表示 服务 提供 者 的 用 户 通信 。 这 些 类 型 的 信息 包括 
路 由 协议 .DNS、SIP 和 SS7 等 。 

最 终 用 户 安全 面 涉及 客户 访问 和 使 用 服务 提供 者 网 络 的 安全 。 同 时 也 考虑 保护 用 户 
的 数据 流 。 最 终 用 户 使 用 网 络 可 以 只 是 提供 连接 ,也 可 能 用 于 诸如 VPNs 这 类 增值 服 
务 , 也 可 能 用 来 访问 基于 网 络 的 应 用 。 


542 安全 体系 结构 参考 模型 的 应 用 


参考 体系 结构 能 应 用 到 安全 程序 的 所 有 方面 ,安全 程序 包括 策略 .过 程 及 技术 。 人 参考 
体系 结构 能 指导 综合 安全 策略 .事故 响应 和 恢复 计划 及 技术 体系 结构 的 开发 ;在 制定 和 规 
划 阶 段 在 每 个 安全 层 和 安全 面 考虑 每 个 安全 维 的 控制 措施 。 参 考 体系 结构 还 能 用 作 安 全 
评估 的 基础 ,检验 安全 程序 在 制定 策略 和 过 程 .开发 技术 时 是 怎样 处 理 安全 维 、 安 全 层 和 
安全 面 的 。 参 考 体系 结构 有 助 于 管理 安全 策略 和 过 程 、 事 故 响应 和 恢复 计划 及 技术 体系 
结构 ,确保 对 安全 程序 的 修改 应 满足 在 每 个 安全 层 和 安全 面 上 的 安全 维 要 求 。 

安全 体系 结构 能 应 用 到 任何 类 型 网 络 的 协议 栈 的 任何 层 。 例 如 ,在 IP 网 络 ,位 于 协 
议 栈 的 下 三 层 , 基础 设施 安全 层 包括 各 个 路 由 器 、 在 路 由 器 之 间 的 点 到 点 通信 ( 即 
SONET、ATM 和 PVCs 等 ) 及 服务 器 平台 用 来 提供 IP 网 络 需 要 的 支持 服务 。 服 务 安全 
层 有 基本 的 IP 服务 ( 即 Internet 连接 ) \IP 支持 服务 ( 即 AAA DNS 和 DHCP 等 ) 及 由 服 
务 提供 商 提供 的 先进 的 增值 服务 ( 即 VoIP、QoS 和 VPN 等 ) 。 应 用 安全 层 是 用 户 应 用 的 
安全 ,通过 IP 网 络 访问 的 用 户 应 用 安全 (电子 邮件 等 ) 。 

可 以 根据 参考 体系 结构 划分 成 9 个 模块 ,每 个 模块 包含 应 用 到 特定 安全 层 和 特定 安 
全 面 的 8 个 安全 维 。 不 同 模块 的 各 个 安全 维 有 不 同 的 目标 ,因而 由 不 同 的 安全 方法 组 成 。 
表 5-1 一 表 5-9 分 别 列 出 应 用 各 安全 维 到 不 同 的 安全 层 和 安全 面 。 


表 5-1 应 用 安全 维 到 基础 设施 安全 层 ,管理 安全 面 
模块 1: 基础 设施 安全 层 .管理 安全 面 


安全 维 安全 目标 

访问 控制 保证 只 有 授权 的 人 或 设备 允许 实施 或 企图 实施 对 网 络 设备 或 通信 链 路 的 管理 活 
动 。 该 应 用 适用 于 通过 设备 端口 的 直接 管理 或 远程 管理 

身份 鉴别 对 网 络 设备 或 通信 链 路 上 实施 管理 任务 的 人 或 设备 的 身份 进行 验证 。 身 份 鉴 别 技 
术 是 访问 控制 需要 的 

不 可 否认 提供 一 个 记录 以 认定 在 网 络 设备 或 通信 链 路 上 人 或 设备 实施 的 每 个 管理 活动 。 该 

记录 能 用 来 证 明 管 理 活动 的 源 

防止 对 网 络 设备 和 通信 链 路 配置 信息 的 非 授权 访问 或 观察 ,包括 常 驻 在 网 络 设备 

数据 保密 和 通信 链 路 的 配置 信息 ,正在 传输 到 网 络 设备 和 通信 和 链 路 的 配置 信息 ,以 及 离线 存 
储 的 设备 配置 信息 。 防 止 对 管理 身份 鉴别 的 信息 ( 即 管理 者 的 身份 和 口令 ) 的 非 授 
权 访 问 或 观察 。 用 于 访问 控制 的 技术 ,也 可 用 于 数据 保密 
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续 表 
模块 1: 基础 设施 安全 层 ,管理 安全 面 
安全 维 安全 目标 
对 在 网 络 设备 或 通信 和 链 路 的 远程 管理 ,保证 管理 信息 只 在 远程 管理 站 和 正在 被 管 
通信 流 安全 理 的 设备 或 通信 和 链 路 之 间 流 动 . 管 理 信息 和 在 这 些 端 点 之 间 流 的 信息 不 被 转移 或 
拦截 ,包括 应 用 的 管理 身份 鉴别 信息 ( 即 管理 者 的 身份 和 口令 ) 
防止 网 络 设备 和 通信 线路 的 配置 信息 非 授 权 修改 ,包括 常 驻 在 网 络 设备 或 通信 链 
数据 完整 性 ”| 路 的 配置 信息 ,以 及 传输 或 存储 在 离线 系统 的 配置 信息 ,也 包括 管理 身份 鉴别 的 信 
息 ( 即 管理 者 的 身份 和 口令 ) 
保证 授权 的 设备 管理 网 络 设备 或 通信 和 链 路 的 能 力 不 能 被 拒绝 ,包括 防止 诸如 拒绝 
可 用 性 服务 这 类 主动 攻击 和 诸如 修改 或 删除 管理 身份 鉴别 信息 这 类 被 动 攻 击 ( 即 管理 者 
的 身份 和 口令 ) 
保证 能 用 来 识别 网 络 设 备 或 通信 和 链 路 的 信息 对 非 授 权 人 或 设备 不 可 用 ,例如 这 类 
隐私 信息 包括 网 络 设备 的 IP 地 址 或 DNS 域名 ,因为 这 些 信 息 给 攻击 者 提供 了 攻击 目 
标 信 息 。 保 证 通过 网 络 收集 和 处 理 个 人 信息 应 遵守 本 地 数据 保护 法 律 .法规 
表 5-2 应 用 安全 维 到 基础 设施 安全 层 .控制 安全 面 
模块 2: 基础 设施 安全 层 ,控制 安全 面 
安全 维 安全 目标 
访问 控制 保证 只 有 授权 的 人 或 设备 允许 访问 或 企图 访问 常 驻 在 网 络 设备 或 离线 存储 的 控制 
信息 。 保 证 网 络 设备 只 接受 来 自 授权 网 络 设备 的 控制 信息 报 文 
身份 鉴别 对 观察 或 修改 网 络 设 备 上 的 控制 信息 的 人 或 设备 的 身份 进行 验证 。 对 发 送 控制 信 
息 到 网 络 设备 的 设备 身份 进行 验证 。 身 份 鉴 别 技术 也 是 访问 控制 需要 的 
提供 一 个 记录 以 认定 在 网 络 设备 上 观察 或 修改 控制 信息 的 人 或 设备 ,该 记录 能 用 
不 可 否认 来 证 明 控制 信息 的 访问 或 修改 。 提 供 一 个 记录 以 认定 设备 将 源 控制 报 文 送 到 网 络 
设备 ,该 记录 能 用 来 证 明 设备 已 发 出 了 控制 报 文 
防止 对 常 驻 在 网 络 设备 或 离线 存储 的 控制 信息 的 非 授 权 访 问 或 观察 。 用 于 访问 控 
数据 保密 制 的 技术 也 可 用 于 常 驻 在 网 络 设备 的 控制 信息 的 数据 保密 。 防 止 正在 网 上 传输 的 
指向 网 络 设备 的 控制 信息 的 非 授权 使 用 和 观察 
通信 流 安全 保证 正在 网 上 传输 的 控制 信息 ( 即 路 由 更 新 ) 只 在 控制 信息 源 和 目的 站 之 间 流 动 ， 
册 | 在 这 些 端点 之 间 流 动 的 控制 信息 不 被 转移 或 拦截 
数据 完整 性 ”| 防止 常 驻 在 网 络 设备 .在 网 上 传输 的 .或 存储 在 离线 的 控制 信息 非 授权 修改 
可 用 性 保证 网 络 设备 总 能 从 授权 源 接收 控制 信息 ,包括 防止 诸如 DoS 这 类 蓄意 的 攻击 和 
偶然 发 生 的 ( 即 路 由 摆动 ) 
保证 能 用 来 识别 网 络 设备 或 通信 和 链 路 的 信息 对 非 授权 人 或 设备 不 可 用 ,这 类 信息 
隐私 包括 网 络 设备 的 IP 地 址 或 DNS 域名 ,因为 这 些 信息 给 攻击 者 提供 了 攻击 目标 信 


息 。 保 证 通过 网 络 收 集 和 处 理 个 人 信息 应 遵守 本 地 数据 保密 法 律 、 法 规 
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表 5-3 应 用 安全 维 到 基础 设施 安全 层 最终 用 户 安全 面 
模块 3: 基础 设施 安全 层 、 最 终 用 户 安全 面 
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安全 维 安全 目标 
访问 控制 保证 只 有 授权 的 人 或 设备 允许 访问 或 企图 访问 在 网 络 部 件 或 通信 和 链 路 正在 传送 
的 ,或 常 驻 在 离线 存储 设备 的 最 终 用 户 数据 
二 和 晤 对 企图 访问 正在 网 络 部 件 或 通信 链 路 传送 的 或 常 驻 在 离线 存储 设备 的 最 终 用 户 数 
据 的 人 或 设备 的 身份 进行 鉴别 。 身 份 鉴别 技术 也 是 访问 控制 需要 的 
不 可 否认 提供 一 个 记录 以 认定 传送 在 网 络 部 件 或 通信 和 链 路 或 常 驻 在 在 线 设备 上 的 最 终 用 户 
数据 已 被 人 或 设备 访问 。 该 记录 能 用 来 证 明 最 终 用 户 的 访问 
数据 保密 防止 正在 网 络 部 件 或 通信 链 路 上 传输 的 或 常 驻 在 离线 设备 的 最 终 用 户 数据 的 非 授 
权 访问 或 观察 。 用 于 访问 控制 的 技术 也 可 用 于 最 终 用 户 数据 的 数据 保密 
通信 流 安 全 。 | 保证 正在 网 络 部 件 和 通信 链 路 传送 的 最 终 用 户 数据 不 被 转移 和 拦 蕉 ,也 包括 无 授 
a ”| 权 访问 的 这 些 端点 之 间 的 数据 流 
a 防止 正在 网 络 部 件 或 通信 和 链 路 传输 的 ,或 常 驻 在 离线 设备 的 最 终 用 户 数据 非 授 权 
数据 完整 性 | 修长 
保证 授权 人 (包括 最 终 用 户 ) 和 设备 常 驻 在 设备 的 最 终 用 户 数据 的 访问 不 被 拒绝 ， 
可 用 性 包括 防止 诸如 DoS 这 类 主动 攻击 和 诸如 修改 或 删除 身份 鉴别 信息 ( 即 用 户 身份 和 
口令 ,管理 者 身份 和 口令 ) 这 类 被 动 攻击 
保证 网 络 部 件 不 提供 有 关 最 终 用 户 的 网 络 活动 信息 (用 户 地理 信 息 、 访 问 的 Web 
隐私 站 等 ) 给 非 授权 人 或 设备 。 保 证 通过 网 络 收集 和 处 理 个 人 信息 应 遵守 本 地 数据 保 
护法 律 .法规 
表 5-4 应 用 安全 维 到 服务 安全 层 .管理 安全 面 
模块 4: 服务 安全 层 ,管理 安全 面 
安全 维 安全 目标 
访问 控制 保证 只 有 授权 的 人 或 设备 允许 实施 或 企图 实施 网 络 服务 的 管理 活动 
pe 对 网 络 设备 或 通信 链 路 上 实施 管理 任务 的 人 或 设备 的 身份 进行 验证 。 身 份 鉴别 技 
术 也 是 访问 控制 需要 的 
不 可 否认 提供 一 个 记录 以 认定 在 网 络 设备 或 通信 和 链 路 上 的 人 或 设备 实施 的 每 个 管理 活动 ， 
四 该 记录 能 用 来 证 明 管理 活动 的 源 
防止 网 络 服务 的 配置 和 管理 信息 的 非 授 权 访问 或 观察 ,包括 常 驻 在 网 络 设备 的 管 
数据 保密 理 和 配置 信息 ,正在 网 上 传输 或 在 线 存储 的 管理 和 配置 信息 。 防 止 网 络 服务 的 管 
理 信息 ( 即 用 户 身份 和 口令 .管理 者 的 身份 和 口令 ) 的 非 授 权 访问 或 观察 
对 网 络 服务 的 远程 管理 ,保证 管理 信息 只 在 远程 管理 站 和 正在 作为 网 络 服务 一 部 
通信 流 安全 “| 分 的 管理 设备 之 间 流 动 ,管理 信息 在 这 些 端点 之 间 的 信息 流 不 被 转移 或 拦截 ,包括 
网 络 服务 鉴别 信息 ( 即 用 户 身份 和 口令 .管理 者 身份 和 口令 ) 
防止 网 络 服务 的 管理 信息 非 授权 修改 ,包括 常 驻 在 网 络 设备 、 正 在 网 上 传输 或 离线 
数据 完整 性 | 系统 存储 的 管理 信息 ,也 包括 网 络 服务 身份 鉴别 信息 ( 即 用 户 身份 和 口令 .管理 者 


身份 和 口令 ) 


模块 4: 服务 安全 层 ,管理 安全 面 


安全 维 安全 目标 
a 保证 授权 人 和 设备 管理 网 络 服务 的 能 力 不 被 拒绝 ,包括 防止 诸如 DoS 这 类 主动 攻 
击 及 诸如 修改 或 删除 服务 管理 身份 鉴别 信息 ( 即 管理 者 身份 和 口令 ) 
保证 能 用 来 识别 网 络 服务 管理 的 信息 对 非 授权 人 或 设备 不 可 用 ,例如 ,这 类 信息 包 
琶 志 括 系 统 的 IP 地 址 或 DNS 域名 ,因为 这 些 能 识别 网 络 服务 管理 系统 的 信息 给 攻击 
者 提供 了 攻击 目标 信息 。 保 证 通过 网 络 收集 和 处 理 个 人 信息 在 遵守 本 地 的 数据 保 
护法 律 .法 规 
表 5-5 应 用 安全 维 到 服务 安全 层 .控制 安全 面 
模块 5: 服务 安全 层 ,控制 安全 面 
安全 维 安全 目标 
和 保证 网 络 设备 接收 到 的 控制 信息 来 自 授权 源 的 网 络 服务 。 例 如 ,防止 来 自 非 授权 
。 设备 的 欺骗 的 VoIP 会 话 启动 报 文 
反而 对 参与 网 络 服务 的 网 络 设备 发 送 网 络 服务 控制 信息 的 源 进行 身份 验证 。 身 份 鉴别 
技术 也 是 访问 控制 需要 的 
不 可 得 认 提供 一 个 记录 以 认定 对 参与 网 络 服务 的 网 络 设备 接收 到 的 网 络 服务 控制 报 文 发 出 
- 的 人 或 设备 ,该 记录 能 用 来 证 明 人 或 设备 已 发 出 网 络 服务 控制 报 文 
防止 常 驻 在 网 络 设备 的 网 络 服务 控制 信息 ( 即 IPSec 会 话 数据 库 ) ,正在 网 上 传输 
数据 保密 的 或 离线 存储 的 网 络 服务 控制 信息 的 非 授权 访问 或 观察 。 用 于 访问 控制 的 技术 也 
可 用 于 常 驻 在 网 络 设备 的 网 络 服务 控制 信息 的 数据 保密 
通信 流 安 全 。 | 保证 正在 网 上 传输 的 网 络 服务 控制 信息 只 在 控制 信息 源 和 目的 站 之 间 流 动 。 在 这 
-” | 些 端点 之 间 的 网 络 服务 控制 信息 不 被 转移 或 拦截 
数据 完整 性 | 防止 常 驻 在 网 络 设备 .在 网 络 上 传输 的 或 离线 存储 的 服务 控制 信息 非 授权 修改 
可 天 保证 参与 网 络 服务 的 网 络 设备 总 能 接收 来 自 授权 源 的 控制 信息 ,包括 防止 诸如 
DoS 这 类 主动 攻击 
保证 能 用 来 识别 参与 网 络 服务 的 网 络 设备 或 通信 链 路 的 信息 对 非 授权 人 或 设备 不 
及 各 可 用 ,这 类 信息 包括 网 络 设备 的 IP 地址 或 DNS 域名 ,因为 这 些 信息 给 攻击 者 提供 
了 攻击 目标 的 信息 。 保 证 通过 网 络 收集 和 处 理 个 人 信息 应 遵守 本 地 数据 保护 法 
律 法规 
表 5-6 应 用 安全 维 到 服务 安全 层 ,最终 用 户 安全 面 
模块 6: 服务 安全 层 、 最 终 用 户 安全 面 
安全 维 安全 目标 
访问 控制 保证 只 有 授权 用 户 和 设备 允许 访问 或 企图 访问 以 及 使 用 网 络 服务 
对 企图 访问 和 使 用 网 络 服务 的 用 户 或 设备 身份 进行 验证 。 身 份 鉴别 技术 也 是 访问 
身份 鉴别 
控制 需要 的 
i 提供 一 个 记录 以 认定 每 个 用 户 或 设备 已 访问 和 使 用 了 网 络 服务 ,该 记录 能 用 来 证 
一 明 已 被 最 终 用 户 和 设备 访问 和 使 用 网 络 服务 
数据 保定 防止 正在 由 网 络 服务 传输 的 、 处 理 的 或 存储 的 最 终 用 户 数据 的 非 授权 访问 或 观察 。 


用 于 访问 控制 的 技术 也 可 用 于 最 终 用 户 数据 的 数据 保密 
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续 表 
模块 6: 服务 安全 层 、 最 终 用 户 安全 面 
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安全 维 安全 目标 
通信 流 安 全 。 | 保证 正在 由 网 络 服务 传输 的 ,处 理 的 或 存储 的 最 终 用 户 数据 在 无 授权 访问 的 这 些 
人 | 端点 ( 即 合法 的 线 抽 头 ) 之 间 的 流动 时 不 被 转移 或 拦截 
数据 完整 性 ”| 防止 正在 由 网 络 服务 传输 的 、 处 理 的 或 存储 的 最 终 用 户 数据 非 授 权 修 改 
保证 授权 的 最 终 用 户 或 设备 对 网 络 服务 的 访问 不 被 拒绝 ,包括 防止 诸如 DoS 这 类 
可 用 性 主动 攻击 及 诸如 修改 或 删除 最 终 用 户 身份 鉴别 信息 ( 即 用 户 身份 和 口令 ) 这 类 被 动 
攻击 
放 保证 网 络 服务 不 提供 有 关 最 终 用 户 使 用 服务 ( 即 VoIP 服务 等 ) 的 信息 给 非 授 权 人 
和 设备 。 保 证 通过 网 络 收集 和 处 理 个 人 信息 应 遵守 本 地 数据 保护 法 律 .法规 
表 5-7 ”应 用 安全 维 到 应 用 安全 层 .管理 安全 面 
模块 7: 应 用 安全 层 ,管理 安全 面 
安全 维 安全 目标 
访问 控制 保证 只 有 授权 人 和 设备 允许 实施 或 企图 实施 基于 网 络 应 用 的 管理 活动 
府 认 下 员 对 企图 实施 基于 网 络 应 用 的 管理 活动 的 人 或 设备 身份 进行 验证 。 身 份 鉴别 技术 也 
是 访问 控制 需要 的 
示 吉 六 村 提供 一 个 记录 以 认定 实施 基于 网 络 应 用 的 每 个 管理 活动 的 人 或 设备 ,该 记录 能 用 
加 来 证 明 用 户 或 设备 已 经 实施 了 管理 活动 
防止 用 于 生成 和 执行 的 基于 网 络 应 用 的 所 有 文件 ( 即 源 文件 .目标 文件 .可 执行 文 
数据 保密 件 及 临时 文件 等 ) 以 及 应 用 配置 文件 的 非 授 权 访问 或 观察 ,包括 常 驻 在 网 络 设备 的 
应 用 文件 .正在 网 上 传输 的 或 离线 存储 的 应 用 文件 。 防 止 基本 于 网 络 应 用 的 管理 
信息 ( 即 用 户 身份 和 口令 ,管理 者 身份 和 口令 ) 的 非 授权 访问 或 观察 
对 基于 网 络 应 用 的 远程 管理 ,保证 管理 信息 只 在 远程 管理 站 和 包括 在 基于 网 络 应 
通信 流 安全 | 用 的 设备 之 间 流 动 , 管 理 信息 和 这 些 端 点 之 间 的 信息 流 不 被 转移 或 拦截 ,也 包括 基 
于 网 络 应 用 的 管理 信息 ( 即 用 户 身份 和 口令 .管理 者 身份 和 口令 ) 
防止 用 于 生成 和 执行 的 基于 网 络 应 用 的 所 有 文件 ( 即 源 文件 .目标 文件 .可 执行 文 
数据 完整 性 。 | 件 及 临时 文件 等 ) 及 应 用 配置 文件 的 非 授权 访问 ,包括 常 驻 在 网 络 设备 的 应 用 广 
件 , 正 在 网 上 传输 或 离线 存储 的 应 用 文件 ,也 包括 基于 网 络 应 用 的 管理 信息 (用 户 
身份 和 口令 ,管理 者 身份 和 口令 ) 
保证 授权 人 和 设备 管理 基于 网 络 应 用 的 能 力 不 被 拒绝 ,包括 防止 诸如 DoS 这 类 主 
可 用 性 动 攻 击 及 诸如 修改 或 删除 基于 网 络 应 用 的 管理 身份 鉴别 信息 ( 即 管理 者 身份 和 口 
令 ) 这 类 被 动 攻击 
保证 能 用 来 识别 基于 网 络 应 用 的 管理 系统 的 信息 对 非 授 权 人 或 设备 不 可 用 ,这 类 
六 信息 包括 系统 的 IP 地 址 或 DNS 域名 ,因为 能 识别 基于 网 络 应 用 的 管理 系统 的 信 


息 给 攻击 者 提供 了 攻击 目标 信息 。 保 证 通过 网 上 收集 和 处 理 信息 应 遵守 本 地 数据 
保护 法 律 ,法规 


表 5-8 应 用 安全 维 到 应 用 安全 层 .控制 安全 面 
模块 8: 应 用 安全 层 ,控制 安全 面 


安全 维 安全 目标 
访问 控制 保证 参与 基于 网 络 应 用 的 网 络 设备 接收 到 控制 信息 来 自 授权 源 。 例 如 ,防止 来 自 非 授 
权 设 备 的 欺骗 的 SMTP 客户 
身份 鉴别 对 参与 基于 网 络 应 用 的 网 络 设备 发 送 应 用 控制 信息 的 源 进行 身份 验证 。 身 份 鉴别 技术 
也 是 访问 控制 需要 的 
不 可 和 否认 提供 一 个 记录 以 认定 对 参与 网 络 服务 的 网 络 设备 接收 到 的 网 络 服务 控制 报 文 发 出 的 人 
或 设备 ,该 记录 能 用 来 证 明 人 或 设备 已 发 出 网 络 服务 控制 报 文 
防止 常 驻 在 网 络 设备 的 应 用 控制 信息 ( 即 SSL 或 TSL 会 话 数据 库 ) 正 在 网 上 传输 的 或 
数据 保密 。 | 离线 存储 的 应 用 控制 信息 的 非 授 权 访 问 或 观察 。 用 于 访问 控制 的 技术 也 可 用 于 常 驻 在 
网 络 设备 的 、 基 于 网 络 应 用 的 控制 信息 的 数据 保密 
通信 流 安全 保证 正在 网 上 传送 应 用 控制 信息 ( 即 SSL 或 TSL 会 话 数据 库 ) 只 在 控制 信息 源 和 目的 
站 之 间 流 动 , 基 于 网 络 应 用 的 控制 信息 及 这 些 端点 之 间 的 信息 流 不 被 转移 或 拦截 
数据 完整 性 防止 常 驻 在 网 络 设备 的 、 在 网 上 传输 的 或 离线 存储 的 基于 网 络 应 用 控制 信息 的 非 授权 
修改 
可 用 性 保证 参与 基于 网 络 应 用 的 网 络 设备 总 能 接收 来 自 授 权 源 的 控制 信息 ,包括 防止 诸如 
DoS 这 类 主动 攻击 
保证 能 用 来 识别 参与 基于 网 络 应 用 的 网 络 设备 或 通信 和 链 路 的 信息 对 非 授 权 人 或 设备 不 
隐私 可 用 ,这 类 信息 包括 网 络 设备 的 IP 地 址 或 DNS 域名 ,因为 能 识别 网 络 设备 或 通信 链 路 
的 信息 给 攻击 者 提供 了 攻击 目标 信息 。 保 证 通过 网 络 收集 和 处 理 个 人 信息 应 遵守 本 地 
的 数据 保护 法 律 .法 规 
表 5-9 应 用 安全 维 到 应 用 安全 层 .最 终 用 户 安全 面 
模块 9: 应 用 安全 层 .最 终 用 户 安全 面 
安全 维 安全 目标 
访问 控制 保证 只 有 授权 用 户 和 设备 允许 访问 或 企图 访问 ,以 及 使 用 基于 网 络 的 应 用 
身份 鉴别 对 企图 访问 和 使 用 基于 网 络 应 用 的 用 户 或 设备 身份 进行 验证 。 身 份 鉴别 技术 也 是 访问 
本 
控制 需要 的 
不 可 否认 提供 一 个 记录 以 认定 每 个 用 户 或 设备 已 访问 和 使 用 了 基于 网 络 的 应 用 ,该 记录 能 用 来 
证 明 最 终 用 户 或 设备 访问 和 使 用 了 基于 网 络 的 应 用 
防止 正在 由 基于 网 络 应 用 传输 的 、 处 理 的 或 存储 的 最 终 用 户 数 据 ( 即 用 户 信 用 卡号 码 ) 
数据 保密 的 非 授权 访问 或 观察 .也 包括 从 用 户 流向 基于 网 络 应 用 的 用 户 数据 。 用 于 访问 控制 的 
技术 也 可 用 于 最 终 用 户 数 据 的 数据 保密 
通信 流 安全 保证 正在 由 基于 网 络 应 用 传输 的 、 处 理 的 或 存储 的 最 终 用 户 数 据 不 被 转移 或 拦截 ,也 包 
“| 括 无 授权 访问 的 这 些 端点 之 间 的 数据 流 
数据 完整 性 防止 正在 由 基于 网 络 应 用 传输 的 、 处 理 的 或 存储 的 最 终 用 户 数据 非 授权 修改 ,也 包括 从 
用 户 流 向 基于 网 络 应 用 的 用 户 数据 
可 用 性 保证 授权 最 终 用 户 或 设备 对 基于 网 络 应 用 的 访问 不 被 拒绝 ,包括 防止 诸如 DoS 这 类 主 
动 攻击 及 诸如 修改 或 删除 最 终 用 户 身份 鉴别 信息 ( 即 用 户 身份 和 口令 ) 这 类 被 动 攻击 
保证 基于 网 络 的 应 用 不 提供 有 关 最 终 用 户 使 用 应 用 的 信息 (访问 的 Web 站 点 ) 给 非 授 
隐私 权 人 或 设备 ,这 类 信息 只 泄露 给 搜索 证 据 的 执法 人 员 。 保 证 通过 网 络 收集 和 处 理 信息 


应 遵守 本 地 数据 保护 法 律 .法 规 
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5.5 ”本 章 小 结 


可 信 系 统 体系 结构 要 素 包括 定义 主体 和 客体 的 子 集 . 可 信 计 算 基 、 安 全 边界 .基准 监 
控 器 和 安全 内 核 , 安 全 域 .资源 隔离 ,安全 策略 和 最 小 特权 等 。 

网 络 安全 体系 结构 是 一 种 层次 安全 结构 ,不 同类 型 的 漏洞 .攻击 和 威胁 存在 于 网 络 的 
不 同 层次 ,需要 研究 网 络 环境 的 各 种 技术 ,实施 网 络 不 同 层次 的 保护 。 

开放 系统 互 连 安 全 体系 结构 (ISO 7498-2) 是 基于 OSI 参考 模型 的 七 层 协议 之 上 的 信 
息 安全 体系 结构 。 它 定义 了 5 类 安全 服务 、8 种 特定 的 安全 机 制 .5 种 普遍 性 安全 机 制 。 
确定 了 安全 服务 与 安全 机 制 的 关系 ,以 及 在 OSI 七 层 模型 中 安全 服务 的 配置 。 它 还 确定 
了 OSI 安全 体系 的 安全 管理 。 

5 类 安全 服务 是 鉴别 ,访问 控制 .数据 机 密 性 、 数 据 完整 性 及 抗 否认 。8 种 特定 的 安全 
机 制 是 加 密 .数字 签名 .访问 控制 .数据 完整 性 ,鉴别 交换 .通信 业务 填充 .路 由 选择 控制 及 
公证 。5 种 普遍 性 安全 机 制 是 可 信 功 能 度 .安全 标记 ,事件 检测 .安全 审计 跟踪 及 安全 恢 
复 。 各 项 安全 服务 在 OSI 七 层 中 都 有 适当 的 配置 位 置 。 

ISOVIEC 18028-2 定义 了 一 个 安全 体系 结构 参考 模型 , 它 把 一 组 复杂 的 端 到 端 网 络 
安全 相关 的 特性 逻辑 上 分 解 成 各 个 结构 组 成 ,从 而 生成 端 到 端的 安全 的 有 序 方案 , 既 可 用 
于 评估 生成 现 有 网 络 的 安全 ,也 可 用 于 规划 新 的 方案 。 安 全 体系 结构 参考 模型 有 3 个 结 
构 组 件 构 成 , 即 安 全 维 .安全 层 和 安全 面 。 


习 题 


1. 下 面 是 几 种 对 TCB 的 描述 ,正确 的 是 ( )。 
A. 来 自 橘 皮 书 , 和 固件 有 关 
B. 来 自 橘 皮 书 , 由 操作 系统 实施 的 安全 机 制 
C. 来 自 橘 皮 书 , 是 系统 的 保护 机 制 
D. 在 安全 环境 中 系统 描述 安全 机 制 的 级 别 
2. 下 面 ( ) 的 存储 提供 最 高 安全 。 
A. 内 存 映射 B. 硬件 分 段 C. 虚拟 机 D. 保护 环 
3. 基准 监控 器 能 确保 ( )。 
A. 只 有 授权 主体 可 访问 客体 
B. 信息 流 从 低 安全 级 别 到 高 安全 级 别 
C. CPU 不 直接 访问 内 存 
D. 主体 不 对 较 低 级 别 的 客体 写 操作 
4. 保护 域 的 正确 定义 是 ( )。 
A. 可 供 主体 使 用 的 系统 资源 B. 在 安全 边界 外 的 系统 资源 
C. 在 TCB 内 工作 的 系统 资源 D. 工作 在 保护 环 1 到 3 的 系统 资源 
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5. 一 种 抽象 机 能 保证 所 有 主体 有 适当 的 允许 权 来 访问 客体 ,这 种 确保 客体 不 被 不 可 
信和 主体 损害 的 安全 控制 概念 是 ( )。 
A. 安全 核 B; TCB C. 基准 监控 器 D 安全 域 
6. CPU 和 OS 有 多 层 自 保护 ,它们 用 保护 环 机 制 通过 安全 控制 边界 把 关键 组 件 分 
开 , 下 列 ( ) 组 件 应 放 在 最 外 环 。 


A. 应 用 和 程序 B. 1/O 驱动 器 和 公用 程序 
C. 操作 系统 OS 核 D. OS 的 其 余部 分 
7. TCB 内 有 几 种 类 型 的 部 件 , 下 列 (”) 不 在 安全 边界 内 。 
A. 母 板 上 的 固件 B. 应 用 程序 
C. 保护 的 硬件 组 件 D. 基准 监控 器 和 安全 核 
8. 处 理 器 和 系统 运行 在 ( ) 状 态 能 处 理 和 硬件 的 直接 通信 。 
A. 问题 状态 B. 等 待 状态 C. 运行 状态 D. 特权 状态 


9. ISO 7498-2 从 体系 结构 的 观点 描述 了 5 种 可 选 的 安全 服务 ,以 下 不 属于 这 5 种 安 
全 服务 的 是 ( )。 
A. 身份 鉴别 B. 数据 报 过 滤 ”C. 授权 控制 D. 数据 完整 性 
10. ISO 7498-2 描述 了 8 种 特定 的 安全 机 制 , 这 8 种 特定 的 安全 机 制 是 为 5 类 特定 
的 安全 服务 设置 的 ,以 下 不 属于 这 8 种 安全 机 制 的 是 ( )。 
A. 安全 标记 机 制 B. 加 密 机 制 C. 数字 签名 机 制 ”D. 访问 控制 机 制 
11. 用 于 实现 身份 鉴别 的 安全 机 制 是 ( )。 
A. 加 密 机 制 和 数字 签名 机 制 
B. 加 密 机 制 和 访问 控制 机 制 
C. 数字 签名 机 制 和 路 由 控制 机 制 
D. 访问 控制 机 制 和 路 由 控制 机 制 
12. ISO 7498-2 从 体系 结构 的 观点 描述 了 5 种 普遍 性 的 安全 机 制 , 这 5 种 安全 机 制 
不 包括 ( )。 
A. 可 信 功 能 B. 安全 标号 C. 事件 检测 D. 数据 完整 性 机 制 
13. 身份 鉴别 是 安全 服务 中 的 重要 一 环 ,以 下 关于 身份 鉴别 的 叙述 不 正确 的 是 (”)。 
A. 身份 鉴别 是 授权 控制 的 基础 
B. 身份 鉴别 一 般 不 用 提供 双向 的 认证 
C. 目前 一 般 采 用 基于 对 称 密 钥 加 密 或 公开 密 钥 加 密 的 方法 
D. 数字 签名 机 制 是 实现 身份 鉴别 的 重要 机 制 
14. 在 ISO/OSI 定 义 的 安全 体系 结构 中 ,没有 规定 ( )。 
A. 对 象 认证 服务 B. 访问 控制 安全 服务 
C. 数据 保密 性 安全 服务 D. 数据 完整 性 安全 服务 
E. 数据 可 用 性 安全 服务 
15.(”) 不 属于 ISO/OSI 安全 体系 结构 的 安全 机 制 。 
A. 访 业 务 流量 分 析 机 制 B. 访问 控制 机 制 
C. 数字 签名 机 制 D. 审计 机 制 
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16. 


20. 


21. 


22. 


23. 


24. 


E. 公证 机 制 
ISO 安全 体系 结构 中 的 对 象 认证 安全 服务 ,使 用 ( ) 完 成 。 
A. 加 密 机 制 B. 数字 签名 机 制 
C. 访问 控制 机 制 D. 数据 完整 性 机 制 
. CA 属于 ISO 安全 体系 结构 中 定义 的 ( )。 
A. 认证 交换 机 制 B. 通信 业务 填充 机 制 
C. 路 由 控制 机 制 D. 公证 机 制 
. 数据 保密 性 安全 服务 的 基础 是 (。 )。 
A. 数据 完整 性 机 制 B. 数字 签名 机 制 
C. 访问 控制 机 制 D. 加 密 机 制 
. 路 由 控制 机 制 用 以 防范 ( )。 


A. 路 由 器 被 攻击 者 破坏 

B. 非法 用 户 利用 欺骗 性 的 路 由 协议 , 自 改 路 由 信息 、 窃 取 敏 感 数据 

C. 在 网 络 层 进行 分 析 , 防 止 非法 信息 通过 路 由 

D. 以 上 篆 非 

数据 完整 性 安全 机 制 可 与 ( ) 使 用 相同 的 方法 实现 。 

A. 加 密 机 制 B. 公证 机 制 C. 数字 签名 机 制 ”D. 访问 控制 机 制 
可 以 被 数据 完整 性 机 制 防止 的 攻击 方式 是 (” )。 

A. 假冒 源 地 址 或 用 户 的 地 址 欺骗 攻击 

B. 抵赖 做 过 信息 的 递交 行为 

C. 数据 中 途 被 攻击 者 窃听 获取 

D. 数据 在 途中 被 攻击 者 算 改 或 破坏 

分 组 过 滤 型 防火 墙 原理 上 是 基于 ( ” ) 进 行 分 析 的 技术 。 

A. 物理 层 B. 数据 链 路 层 C. 网 络 层 D. 应 用 层 

对 动态 网 络 地 址 转换 NAT, 下 面 说 法 不 正确 的 是 ( )。 

A. 将 很 多 内 部 地 址 映射 到 单个 真实 地 址 

B. 外 部 网 络 地 址 和 内 部 地 址 一 对 一 的 映射 

C. 最 多 可 有 64 000 个 同时 的 动态 NAT 连接 

D. 一 个 内 部 桌面 系统 最 多 可 同时 打开 32 个 连接 

ISOVIEC 网 络 安全 体系 结构 的 安全 层 提供 网 络 安全 的 层次 解决 方案 ,下 面 说 法 


不 正确 的 是 ( )。 


25. 


A. 基础 设施 安全 层 支 持 服务 安全 层 

B. 服务 安全 层 支 持 应 用 安全 层 

C. 安全 层 的 含义 和 OSI 层次 安全 的 含义 是 完全 相同 的 

D. 应 用 安全 层 支 持 服务 安全 层 

ISOVIEC 网 络 安全 体系 结构 的 安全 维 包含 ( ) 个 安全 度量 ,用 于 实施 网 络 安全 


的 某 一 特定 方面 的 安全 控制 措施 。 
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本 章 要 点 ， 

。 LAN 的 攻击 类 型 及 防御 方法 ; 

。 无 线 网 的 风险 及 缓解 方法 ; 

。 数据 链 路 层 风险 及 缓解 方法 ; 

。 PPP,MAC,ARP 的 风险 ; 

。 网 络 层 风险 及 缓解 方法 ; 

。 IP 风险 及 IP 安全 可 选 方案 。 

不 同类 型 的 漏洞 攻击 和 威胁 存在 于 Internet 的 不 同 层次 ,Internet 安全 体系 结构 就 
是 依照 层次 结构 的 原则 ,对 不 同类 型 的 攻击 实施 不 同 层 的 保护 。 本 章 重 点 分 析 物 理 层 , 数 
据 链 路 层 和 网 络 层 的 风险 以 及 缓解 风险 的 方法 ,第 7 章 分 析 传 输 层 和 应 用 层 的 风险 以 及 
缓解 风险 的 方法 。 


6.1 物理 网 络 风 险 及 安全 


611 物理 网 络 风 险 


物理 网 的 攻击 集中 在 物理 网 部 件 。 攻 击 包 括 窃 听 ,` 回 答 ( 重 放 )、 插 入 和 拒绝 服务 
(DoS)。 这 些 攻 击 仅 限于 能 物理 访问 的 攻击 者 ,限制 物理 访问 也 就 限制 了 攻击 的 存在 。 


1. 窃听 (eevesdropping) 

物理 连接 器 允许 直接 访问 网 络 介质 ,这 就 使 攻击 者 能 窃听 通过 物理 介质 的 数据 。 当 
网 络 有 开放 的 分 接头 、 可 访问 的 分 接头 或 物理 访问 介质 ,网 络 就 易于 被 窃听 。 例 如 ,攻击 
者 能 使 用 带 开 放 端 口 的 网 络 hub 直接 和 网 络 接口 并 记录 所 有 网 络 通信 量 。 阻 止 或 限制 
访问 开放 端口 就 能 缓解 风险 。 

可 以 将 已 有 的 结 点 从 网 络 分 接头 断 开 ,而 插入 一 个 敌意 的 结 点 ;也 可 将 网 络 分 接头 连 
到 桥 或 分 接 器 (spliter) ,为 敌意 的 结 点 生成 一 个 开放 分 接头 。 对 物理 电缆 ,网 络 链 路 可 被 
切断 ,插入 一 个 连接 器 ,以 允许 网 络 被 窃听 。 一 些 灵敏 的 连接 器 可 检测 到 电缆 上 的 信号 ， 
并 传送 到 另 一 个 电缆 ;类 似 的 原理 ,使 用 高 灵敏 度 的 接收 器 来 侦察 从 监控 器 .计算 机 芯片 
或 网 络 电缆 发 射 的 RF 辐射 ,而 无 线 网 络 更 易于 广播 侦察 。 
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2 回答 ( 重 放 ) 
窃听 是 一 种 相对 被 动 的 攻击 ,能 经 常 进 行 而 不 被 检测 。 另 一 种 是 主动 攻击 ,因为 网 络 
连接 器 允许 发 送 ,也 可 接收 ,攻击 者 能 主动 发 送 数据 到 网 上 。 回 答 攻击 是 基于 记录 网 上 接 
收 到 的 信号 ,并 给 网 络 返回 。 这 种 类 型 攻击 ,不 需要 知道 数据 的 意思 ,而 仅仅 是 将 其 返回 。 


3 插入 

类 似 于 回答 攻击 ,插入 攻击 是 发 送 数据 ,但 不 是 返回 接收 到 的 数据 ,而 是 新 的 数据 。 
这 种 攻击 通常 是 用 来 访问 目标 系统 的 网 络 高 层 。 例 如 ,假如 网 络 基于 物理 层 身 份 鉴别 限 
制 访问 ,攻击 者 可 窃听 网 络 ,并 在 身份 鉴别 完成 后 插入 数据 。 


4 拒绝 服务 (DoS) 

物理 网 络 是 最 易 受 DoS 攻击 的 ,包括 不 经 意 的 和 故意 的 。 不 经 意 的 DoS 诸如 hub 的 
电源 接 插头 掉 了 ,网 络 连接 器 碰 掉 了 等 。 故 意 的 DoS 攻击 包括 物理 切断 电缆 ,或 将 低压 
电缆 插 和 人 高 压 源 ,以 致 将 网 络 设备 烧 断 等 。 对 RF 电源 和 无 线 网 络 ,无 线 频 率 干 扰 RFI 是 
最 有 效 的 破坏 网 络 的 方法 ,包括 不 经 意 的 和 故意 的 。 


612 物理 层 安 全 


物理 层 提供 对 物理 链 路 的 访问 ,以 及 对 通过 物理 介质 传输 的 数据 编码 和 解码 ,没有 通 
用 的 物理 层 协议 直接 提供 安全 。 身 份 鉴别 ,授权 、 验 证 是 由 高 层 协议 来 管理 ,一 般 是 由 数 
据 链 路 、 网 络 或 会 话 层 来 管理 。 

很 多 物理 层 协 议 的 身份 鉴别 是 和 高 层 紧 密 相连 的 ,例如 拨号 网 和 无 线 网 。 拨 号 网 通 
常 是 依靠 PPP 或 SLIP 来 进行 用 户 身份 鉴别 的 ,而 无 线 网 对 客户 的 身份 鉴别 是 使 用 WEP 
协议 (Wired Equivalent Privacy) 和 MAC 地 址 过 滤 进 行 的 。 

多 数 情况 下 ,物理 层 是 作为 身份 鉴别 栈 的 一 部 分 来 实现 的 。 身 份 鉴别 栈 是 一 个 OSI 
栈 , 它 位 于 网 络 用 户 的 OSI 栈 的 前 面 , 管 理 网 络 的 身份 鉴别 。 当 数据 到 达 结 点 时 ,身份 鉴 
别 栈 处 理 数据 并 验证 信息 ,身份 鉴别 信息 再 送 到 结 点 的 OSI 栈 ,如 图 6-1 所 示 。 


身份 鉴别 
身份 鉴别 


数据 链 路 
数 
a 物理 物理 
身份 鉴别 栈 网 络 栈 


图 6-1 一 个 简单 的 网 络 身份 鉴别 栈 
对 物理 层 攻 击 源 的 识别 能 力 取决 于 网 络 介质 .配置 和 规模 。 总 线 网 络 比 星 型 网 络 更 
难 识别 ,对 网 线 的 破坏 和 无 线 电 频率 干扰 RFI 的 识别 则 更 加 困难 。 对 大 规模 网 的 攻击 识 
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别 比 小 规模 网 又 要 困难 得 多 。 


6.2 局 域 网 LAN 的 安全 


621 攻击 类 型 
对 有 线 物理 网 的 攻击 包括 连接 破坏 .干扰 、 侦 察 和 插 人 攻击 。 


1 破坏 (disruption) 
对 物理 网 连接 的 破坏 包括 中 断 电 源 和 切断 网 络 电 缆 。 缓 解 的 方法 包括 配置 备用 电源 
和 限制 访问 核心 网 络 设备 。 


2 干扰 (interference) 

物理 介质 用 来 传送 数据 和 其 他 信号 。 假 如 非 授权 的 信号 (如 干扰 ) 进 入 介质 , 则 网 络 
设备 可 能 无 法 区 别 数据 和 噪声 。 因 此 ,大 部 分 物理 层 协议 明确 地 说 明 介 质 的 屏蔽 要 求 以 
阻止 周围 的 噪声 进入 网 络 。 另 外 采用 数据 编码 技术 也 可 缓解 对 干扰 的 影响 。 虽 然 大 部 分 
网 络 规范 定义 对 干扰 有 一 定 的 容忍 度 , 但 是 强 的 无 线 电 频率 干扰 靠近 网 络 电缆 仍 能 使 网 
络 无 法 正常 传输 数据 。 


3 故意 攻击 (intentiond attacks) 
来 自 侦察 .回答 和 插入 攻击 的 威胁 通常 是 故意 的 。 可 以 通过 网 络 配置 来 缓解 这 些 威 
胁 。 可 选 的 方案 包括 防火 墙 以 及 提供 DMZ 等 定位 的 网 络 配置 。 


622 防御 方法 
防御 方法 有 以 下 几 种 : 


1 防火 墙 

最 有 效 的 方法 是 将 网 段 分隔 开 来 ,直接 连 到 Internet 的 系统 是 没有 任何 保护 的 。 防 
火 墙 是 在 网 段 之 间 过 滤 网 络 通信 的 系统 以 及 能 保护 特定 的 网 络 的 协议 。 防 火 墙 基本 上 是 
和 协议 低层 相 联 系 的 ,包括 物理 层 .数据 链 路 层 、 网 络 层 和 传输 层 。 缓 解 方 法 的 选择 是 基 
于 防火 墙 能 实现 的 网 络 通 信 过 滤 。 

防火 墙 至 少将 网 络 分 成 两 个 网 段 ,一 段 是 可 信 的 LAN, 另 一 段 是 不 可 信 的 WAN。 
防火 墙 的 实施 可 分 软件 防火 墙 和 硬件 防火 墙 两 大 类 ,也 有 专门 为 家 庭 用 户 的 防火 墙 。 它 
们 在 价格 、 复 杂 性 、 灵 活性 .个 人 化 和 过 滤 能 力 方面 有 很 大 区 别 。 


2 特权 区 (privileged zones) 

单个 防火 墙 能 在 不 太 可 信 的 WAN 和 更 可 信和 的 LAN 间 生 成 一 个 壁垒 ,单个 防火 墙 
定义 两 个 特权 区 。 在 一 个 组 织 内 ,往往 有 不 同 程序 的 可 信和 度 , 可 以 使 用 分 段 拓扑 ,在 物理 
层 明 确 地 定义 。 分 段 的 拓扑 可 以 是 不 同 可 信 级 别 的 分 段 串 联 起 来 ,但 更 为 普遍 的 是 采用 
DMZ .洋葱 头 拓扑 和 大 菩 头 拓扑 ,如 图 6-2 所 示 。 
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DMZ 是 在 LAN 和 WAN 之 间 的 一 个 隔离 的 
网 段 。 虽 然 在 DMZ 和 LAN 之 间 存 在 物理 连接 ， 防火 墙 。 ”防火墙 
但 真正 的 连接 是 依赖 诸如 路 由 器 和 网 关 这 类 网 络 CO 二 < 
设备 ,在 网 络 高 层 完成 连接 。DMZ 对 网 络 安全 提 
供 3 个 关键 的 好 处 : 限制 数据 流 、 限 制 物理 连接 以 
及 监控 访问 点 。 
洋葱 头 网 是 由 防火 墙 将 众多 LAN 分 隔 成 串 > 
联 层 。 每 层 叫 作 一 个 环 ,对 邻近 的 环 是 独立 的 网 f 
段 。 洋 葱头 的 中 心 层 称 为 核 ,每 个 洋葱 头 只 包含 一 洋葱 类 层次 图 
个 核 。 层 间 的 防火 墙 限制 访问 每 层 ,对 核心 层 更 是 。 基站 允 层 闪 国 


有 严格 的 限制 。 e 
分 层 的 网 络 簇 (cluster) 形 成 大 蒜头 网 ,也 称 气 性 ® 

泡 网 或 单元 网 。 每 个 大 蒜头 网 称 一 个 丁香 (clove)， 人 .J 香 

每 个 clove 包含 一 个 核 。 不 同 的 clove 可 以 有 不 同 Di 

的 深度 ,也 可 以 包括 含有 附加 clove 的 子 网 。 大 藉 ”图 622 DMZ、 洋 苞 头 .大 蒜头 网 络 配 置 

头 网 的 主要 安全 特点 是 它 的 组 织 结构 ,每 层 (或 核 ) 


的 结 点 不 能 和 不 同 层 的 结 点 进行 通信 ,除非 经 过 一 个 网 络 通路 通信 。 


3 LAN 连 接 

为 了 利用 物理 层 的 安全 风险 ,攻击 者 必须 连 到 LAN。LAN 通常 是 动态 的 ,系统 周期 
地 出 现 和 消失 ,但 是 物理 网 的 连接 可 以 是 静态 的 ,也 可 以 是 动态 的 。 

静态 连接 是 结 点 和 网 络 之 间 有 一 条 物理 链 路 。 即 使 结 点 不 在 线 , 但 链 路 总 是 存在 。 
攻击 者 有 很 多 选择 来 利用 静态 连接 ,因为 它 是 到 物理 网 络 的 直接 链 路 ,风险 包括 开放 的 分 
接头 、 分 接头 拦截 .拼接 处 及 勾引 针 (vampire clips) 。 

动态 网 络 链 路 是 网 络 连接 时 ,物理 链 路 是 变化 的 。 拨 号 modem 池 是 动态 网 络 链 路 的 
典型 例子 ,modem 服务 器 和 modem 客户 端 之 间 的 物理 通路 在 每 次 呼叫 时 是 变化 的 。 呼 
叫 序列 可 以 来 自 不 同 计算 机 ,以 及 经 过 电话 系统 采取 不 同 路 由 。 因 为 通路 是 动态 的 ,窃听 
客户 端 或 服务 器 的 电话 链 路 ,识别 网 络 路 由 、 窃 听 客户 端 或 服务 器 的 电话 链 路 的 任意 点 都 
是 困难 的 。 动 态 网 络 链接 的 时 间 也 是 不 同 的 ,一 般 用 电话 modem 有 可 能 几 小 时 ,但 用 电 
缆 modem 有 可 能 持续 很 长 时 间 。 

电话 modem 连接 同 电缆 modem 网 有 类 似 的 功能 及 风险 。 两 者 都 是 在 不 同 的 介质 上 
通过 网 络 通信 ,都 允许 双向 网 络 连接 ,都 从 防火 墙 得 到 相同 的 好 处 。 但 两 者 在 速度 和 访问 
方面 都 有 显著 的 区 别 。 

电话 modem 比 电缆 modem 的 传输 速度 要 低 很 多 ,对 于 DoS 攻击 来 说 , 较 低 速率 的 
网 络 连接 更 易 受 攻击 。 例 如 ,每 秒 能 产生 20 个 ICMP ping 分 组 的 攻击 对 电缆 modem 不 
会 产生 明显 的 延迟 ,而 对 56Kbps 的 电话 modem, 这 种 DoS 攻击 就 会 产生 明显 的 效果 。 

电费 modem 很 少 连 接 到 公司 的 LAN, 用 户 是 通过 WAN 连接 到 Internet 来 访问 服 
务 。 电 话 modem 经 常 是 直接 连 到 modem 池 ,并 提供 直接 的 LAN 访问 。 如 果 攻 击 者 知 
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道 modem 池 的 电话 号 码 ,就 可 用 电话 modem 直接 攻击 公司 LAN。 

为 此 ,电话 modem 提供 身份 鉴别 的 可 选择 方案 ,以 限制 从 动态 modem 连接 进行 物理 
层 访 问 。 每 个 modem 服务 器 包括 一 个 类 似 防火 墙 的 网 络 栈 ,将 modem 和 LAN 隔 开 来 ， 
在 取得 访问 以 前 提供 一 个 身份 鉴别 点 。 

身份 鉴别 的 可 选 方案 有 modem 身份 鉴别 凭证 .呼叫 者 ID .自动 回 叫 及 生成 安全 动态 

链接 等 。 

。 modem 身份 鉴别 凭证 : 很 多 modem 池 要 求 登 录 凭 证 ,如 用 户 名 和 口令 。 第 二 层 
协议 ,诸如 PPP 和 SLIP 能 请 求 和 鉴别 登录 凭证 。 但 用 户 名 和 口令 有 很 多 方法 可 
破解 ,包括 口令 猜测 口令 破解 、 拨 号 窃听 等 ,变更 的 方法 是 用 智能 令 牌 的 身份 鉴 
别 , 这 种 密码 系统 产生 动态 值 , 以 确保 每 次 有 不 同 的 身份 鉴别 证 书 。 口 令 和 智能 
令 牌 也 可 用 于 网 络 更 高 层 的 身份 鉴别 连接 。 对 于 大 部 分 基于 凭证 的 系统 身份 鉴 
别 只 是 发 生 在 连接 的 初始 阶段 ,在 链 路 建立 以 后 就 没有 身份 鉴别 ,因此 ,对 物理 层 
的 窃听 和 拦截 仍然 是 可 能 的 。 

。 呼叫 者 ID: 呼叫 者 ID 系统 是 基于 呼叫 方 的 电话 号 码 对 呼叫 者 进行 身份 鉴别 。 当 
呼叫 电话 时 ,本 地 电话 交换 发 送 一 个 自动 号 码 识 别 ANI (automatic number 
identification) 码 。 接 收 电话 方 将 收 到 的 码 作 为 呼叫 ID 的 身份 鉴别 。 但 是 呼叫 
ID 不 总 是 正确 的 ,因为 呼叫 ID 码 在 使 用 ISDN、PBX 或 VoIP 系统 时 可 以 是 假 
的 。 如 采用 操作 员 帮 助 呼叫 ,操作 员 可 用 手动 方式 输入 一 个 码 ONICoperator 
number identification) , 即 审慎 地 提供 一 个 变换 的 呼叫 ID 值 。 

。 自动 回 叫 : 很 多 安全 系统 采用 自动 回 叫 , 即 modem 池 呼 叫 客户 ,而 不 是 回答 电 
话 。 为 了 启动 一 次 电话 呼叫 ,呼叫 者 拨 一 个 预先 确定 的 电话 号 码 。 接 收 系统 回答 
呼叫 (或 只 是 记录 这 个 电话 响 ) ,可 以 使 用 呼叫 ID 或 其 他 凭证 对 呼叫 者 进行 身份 
鉴别 。 随 后 modem 池 呼 叫 回 客户 , 回 叫 可 以 是 对 呼叫 者 ID 或 一 个 静态 号 码 。 客 
户 回答 该 回 叫 ,并 完成 任何 其 余 的 身份 鉴别 步 又。 这 样 一 个 复杂 的 握手 过 程 ,可 
以 使 对 外 的 呼叫 无 法 通过 呼叫 者 ID 伪装 来 拦截 。 

。 生成 安全 动态 链接 : 一 个 十 分 安全 的 拨号 系统 使 用 两 个 或 更 多 的 身份 鉴别 机 制 ， 
包括 口令 .智能卡 .呼叫 者 ID 自动 回 叫 以 及 基于 其 他 凭证 的 验证 。 这 种 深度 防 
御 可 限制 单个 危害 的 影响 。 


6.3 无 线 网 络 安全 


631 无 线 网 风险 
无 线 网 面临 着 一 系列 有 线 网 没有 的 不 安全 风险 ,包括 分 组 嗅 测 、.SSID 信息 ,假冒 . 寄 
生 和 直接 安全 漏洞 。 


1 分 组 嗅 测 (packet sniffing) 
这 是 无 线 网 络 攻击 的 最 简单 方式 。 在 无 线 网 上 的 数据 流 本 质 上 是 一 总 线 结构 。 每 个 
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用 户 点 SP(subscriber point) 接 收 到 从 访问 点 AP(access point) 发 送 的 全 部 数据 ,这 意味 
着 接 到 AP 的 任何 SP 能 观察 到 至 少 一 半 的 客户 的 网 络 通信 (经 常 是 全 部 通信 )。 这 直接 
导致 会 话 拦截 或 对 网 络 其 他 层 的 攻击 。 


2 服务 集 标 识 SSID(the service set identfier) 信息 

SSID 通常 设置 为 一 个 公司 名 、 家 庭 名 或 街道 地 址 。 这 种 数据 类 型 能 被 潜在 的 攻击 者 
破坏 。SSID 中 的 值 对 用 户 有 帮助 ,但 同样 也 为 攻击 者 所 利用 。 

3 假冒 (inpersonation) 

AP 假冒 可 能 是 故意 的 ,也 可 能 是 不 经 意 的 。 攻 击 者 可 以 在 已 有 的 AP 附近 建立 一 个 
新 的 AP, 并 且 赋 以 同样 的 SSID。 对 存在 多 个 AP 的 场合 ,SP 如 何 区 别 真实 的 AP 和 假 的 
AP 呢 ? 从 SPs 的 观点 ,所 有 相同 SSID 的 AP 看 起 来 是 一 样 的 。 

由 IEEE 802. 11 定义 的 有 线 等 效 隐私 WEP(wised equivalent privacy) 协 议 对 区 别 真 
实 的 和 假冒 的 AP 可 能 是 有 用 的 。 但 攻击 者 可 以 破坏 WEP, 决 定 WEP 的 密 钥 ,并 赋予 假 
冒 的 AP。 在 抓 到 了 一 个 不 知觉 的 被 骗 者 后 ,假冒 者 可 做 很 多 事情 ,包括 拒绝 服务 DoS; 
MitMCman-in-the-middle) 攻 击 , 即 在 途中 拦截 或 修改 被 骗 者 打算 使 用 的 数据 ;隧道 攻击 ， 
即 攻击 者 在 假冒 的 AP 和 真实 的 AP 之 间 生 成 一 个 隧道 ,被 骗 者 无 法 识别 这 类 MitM 
攻击 。 

不 经 意 的 假冒 发 生 在 住户 邻居 可 能 对 AP 使 用 相同 的 设置 ,这 种 设置 经 常 是 默认 的 。 


4 寄生 者 (parasites) 

寄生 者 要 通过 一 个 开放 的 AP 来 访问 Internet。 假 如 一 个 无 线 网 是 开放 的 (没有 
WEP) ,寄生 者 可 以 连接 到 Web 进行 浏览 或 收发 E-mail。 大 部 分 寄生 者 可 被 WEP 检 
测 到 。 


5 直接 安全 漏洞 (direct security breaches) 
无 线 网 络 允 许 直接 访问 到 物理 网 络 ,而 WEP 对 决意 的 攻击 者 无 法 制止 。 


632 风险 缓解 的 方法 


如 同 有 线 网 一 样 ,无 线 网 的 介质 并 不 提供 安全 机 制 。 任 何 攻击 者 能 拦截 无 线 信 号 , 立 
即 访问 物理 网 。 为 了 缓解 这 种 风险 有 3 种 可 选 方法 。 第 1 种 选择 是 减少 无 线 网 的 吸引 
力 ,这 是 技术 上 的 模糊 安全 。 对 SSID 打 标 签 ,不 使 SSID 广播 以 及 选择 天 线 的 位 置 都 是 
深度 防御 的 组 成 。 第 2 种 选择 是 限制 攻击 者 连接 和 使 用 无 线路 由 器 的 能 力 ,MAC 过 滤 、 
WEP 以 及 其 他 密码 系统 对 身份 鉴别 栈 确 定 不 同 的 阶段 。 最 后 一 种 是 网 络 体系 结构 能 限 
制 成 功 攻 击 者 的 影响 。 


1. SSID 打 标签 
SSID 的 设置 值 可 以 给 攻击 者 提供 信息 ,一 个 攻击 者 更 有 可 能 攻击 一 个 已 知 的 网 络 。 
最 好 的 情况 是 SSID 对 拥有 者 应 提供 清楚 的 信息 ,而 对 攻击 者 是 模糊 的 。 例 如 ,“CSL3-5” 
是 指 在 5 号 楼 的 计算 机 安全 实验 室 的 3 号 路 由 器 。 
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2 广播 SSD 

路 由 器 每 隔 几 秒 钟 广播 SSID, 可 使 寻找 AP 的 用 户 能 发 现 它 。 可 以 不 经 常 广播 ,而 
用 户 在 需要 连接 前 知道 SSID 的 名 字 。 虽 然 不 能 使 所 有 不 同 的 SSID 广播 机 制 不 起 作用 ， 
但 可 以 大 大 减少 受 攻击 的 风险 。 


3 天 线 放置 

天 线 的 位 置 直接 影响 接收 信号 强度 。 把 天 线 放 在 地 下 室 的 墙角 ,就 可 限制 接收 的 范 
围 ,还 可 采取 一 些 措施 ,以 限制 信号 在 特定 方向 的 传播 。 即 使 这 样 , 仍 不 可 能 阻止 决意 的 
攻击 者 。 方 向 性 天 线 能 提高 SPs 接 到 AP 的 能 力 ,以 访问 十 分 远 和 十 分 弱 的 信号 。 


4 MAC 过 滤 

身份 鉴别 栈 可 严格 地 限制 那些 能 收 到 无 线 信号 的 攻击 者 的 访问 。 最 简单 的 身份 鉴别 
是 基于 网 络 协议 第 2 层 , 即 介质 访问 控制 MAC,MAC 地 址 能 唯一 识别 每 个 网 卡 。 很 多 
APs 允许 管理 者 清楚 地 列 出 连接 到 路 由 器 的 MAC 地 址 ,这 可 阻止 想 连接 到 未 知 MAC 
地 址 的 攻击 者 。 但 是 大 部 分 网 卡 允许 用 户 改变 MAC 地 址 ,因为 MAC 在 每 个 分 组 中 发 
送 , 一 个 攻击 者 仅 需 接收 一 个 分 组 来 识别 一 个 有 效 MAC 地 址 。 


5 WEP 

一 个 熟练 的 攻击 者 能 很 容易 旁 路 SSID 的 设置 .天线 的 设置 ,以 及 MAC 过 滤 等 防御 
措施 ,因为 这 些 方法 只 是 限制 攻击 发 现 ,但 不 能 阻止 无 线 连接 。 相 反 ,WEP 能 主动 阻止 连 
接 , 即 使 仅仅 是 几 分 钟 时 间 。 虽 然 WEP 不 是 主要 用 于 技术 攻击 者 ,但 确实 对 开放 网 络 的 
安全 是 一 个 更 好 的 选择 。 尤 其 是 从 法 律 的 观点 看 ,WEP 有 一 个 重要 的 目的 , 即 WEP 可 
确定 意图 ,一 个 攻击 者 解密 和 访问 一 个 有 WEP 的 网 络 ,就 很 清楚 地 暴露 其 有 意 攻击 的 

WEP 是 通用 的 ,已 被 大 家 所 接受 。 几 乎 所 有 无 线 网 络 路 由 器 都 支持 WEP, 并 且 相 互 
兼容 ,这 种 普遍 的 接受 导致 很 高 的 采用 可 能 性 。 


6 其 他 密码 系统 

WEP 不 是 唯一 可 用 的 密码 系统 。 例 如 ,IEEE 802. 11i 定义 了 一 个 支持 身份 鉴别 协 
议 的 方法 ,叫做 Wi-Fi 防护 访问 WPA。 身 份 鉴别 系统 有 基于 临时 密 钥 完整 协议 TKTP 
(Temporal Key Integrity Protocol) ,是 针对 静态 WEP 密 钥 的 ;有 扩展 身份 鉴别 协议 EAP 
(Extensible Authentication Protocol) ,是 为 阻止 MitM 攻击 而 设计 的 。 

此 外 还 有 很 多 不 限于 开放 标准 的 身份 鉴别 协议 ,虽然 不 同 于 WEP 的 协议 提供 了 足 
够 的 安全 以 限制 非 授 权 的 连接 ,但 是 都 有 两 个 主要 的 缺点 : 兼容 性 和 可 辨别 性 。 前 者 导 
致 不 同 厂商 的 硬件 和 驱动 器 不 能 相互 兼容 ,一 个 厂商 提供 的 身份 鉴别 栈 不 能 支持 和 兼容 
其 他 厂商 。 后 者 是 这 些 安全 方法 虽然 能 阻止 攻击 ,但 并 不 能 阻止 攻击 者 观察 到 网 络 。 通 
过 监控 网 络 通信 量 ,攻击 者 可 知道 网 络 的 使 用 状况 和 网 络 数据 流向 等 。 


7 网 络 体系 结构 
无 线 网 允许 任何 人 在 接收 范围 内 访问 物理 介质 。 身 份 鉴别 栈 可 以 阻止 攻击 者 连 到 无 
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线 网 ,而 恰当 的 网 络 结构 可 对 已 经 成 功 连接 到 无 线路 由 器 的 攻击 者 限制 其 影响 。 诸 如 
DMZ 或 VPN 都 是 可 选 方案 。 

DMZ 将 无 线 系统 和 LAN 的 其 余部 分 分 隔 开 来 ,连接 到 AP 的 任何 SP 只 能 访问 
DMZ ,进一步 访问 需要 具有 身份 鉴别 的 能 力 ,或 旁 路 DMZ 防火 墙 。 

VPN 使 主机 和 子 网 间 的 网 络 通信 通过 隧道 进行 ,以 确保 在 通过 公共 通道 时 的 隐私 。 
VPN 的 解决 方案 很 多 ,诸如 安全 壳 SSH (secure shell) .基于 安全 套 接 字 层 SSL (secure 
socket layer) 的 开放 网 络 .CIPE、PPTP、VTun(virtual tunnel) 等 。 不 同 的 VPN 解决 方案 
在 安全 和 网 络 性 能 方面 有 不 同 的 折 中 。 理 想 的 结构 是 使 用 洋葱 头 或 大 藉 头 的 配置 , AP 
放 在 中 心 核 ,攻击 者 即使 能 连接 到 AP, 但 由 于 防火 墙 而 不 能 访问 LAN 和 WAN, 相 反 授 
权 的 用 户 能 访问 LAN 并 执行 各 个 作业 。 


6.4 ”数据 链 路 层 风险 及 安全 


641 数据 链 路 层 风 险 


数据 链 路 层 通 常 提供 到 物理 层 的 接口 ,以 确保 数据 在 网 络 两 个 结 点 之 间 安 全 传递 。 
然而 ,对 一 些 不 正常 的 使 用 表明 网 络 受 到 攻击 ,这 些 攻击 包括 随意 模式 的 监控 、 网 络 负 载 、 
寻 址 ,在 帧 外 的 (out of frame) 数 据 以 及 数据 通道 。 

虽然 有 很 多 类 型 的 不 正常 使 用 和 滥用 ,但 它们 都 需要 直接 物理 访问 到 网 络 。 这 些 攻 
击 的 范围 仅 限于 数据 链 路 层 。 对 连接 到 路 由 器 和 网 关 的 网 络 ,这 些 滥 用 能 给 予 防护 。 


1 随意 模式 
在 正常 模式 下 ,网 络 寻 址 机 制 (也 就 是 MAC) 能 阻止 上 面 的 堆栈 层 接 收 非 指向 该 结 
点 的 数据 。 然 而 很 多 网 络 接口 支持 无 地 址 过 滤 ,运行 在 随意 模式 的 结 点 能 接收 所 有 报 文 
帧 ,而 不 只 是 指向 该 结 点 的 帧 。 随 意 模 式 允 许 攻击 者 接收 所 有 来 自 网 络 的 数据 。 
。 随意 模式 攻击 : 随意 模式 通常 用 于 网 络 分 析 和 查 错 工具 ,网 络 管理 者 利用 这 种 模 
式 可 以 观察 所 有 本 地 网 络 通信 。 然 而 ,攻击 者 也 能 使 用 这 个 工具 。 攻 击 者 可 以 看 
到 明文 传送 的 数据 ;可 以 看 到 在 网 上 的 系统 数量 和 类 型 .通信 类 型 以 及 网 络 活动 
时 间 ; 知 道 了 网 上 数据 的 类 型 ,攻击 者 即 可 接管 已 建立 的 连接 ;通过 监控 网 络 通 
信 ,攻击 者 可 得 到 预警 信号 , 它 的 存在 已 被 检测 到 。 
。 常用 工具 : 有 很 多 工具 可 将 网 络 接口 转 到 随意 模式 ,这 些 工具 包括 Tcpdump 一 
个 在 随意 模式 下 捕捉 网 络 分 组 的 一 个 简单 工具 ;Snort 一 个 功能 很 强 的 分 组 捕获 
工具 ,可 用 于 IDS,IPS 等 应 用 ;Ngrep 允许 对 特定 的 字 节 序列 的 网 络 通信 进行 扫 
描 ;Ethereal 捕获 分 组 ,重组 通信 ,辨认 大 部 分 第 2 层 协议 。 
检测 随意 模式 : 随意 模式 能 旁 路 掉 第 1.2 层 的 过 滤 , 所 有 接收 到 的 数据 被 送 到 网 
络 层 及 其 高 层 处 理 。 但 随意 模式 有 一 个 最 大 的 局 限 性 , 即 很 多 高 层 协议 假设 网 络 
数据 在 低层 已 被 检测 到 。 假 如 在 分 组 内 的 数据 要 求 做 出 回答 ,高 层 协议 可 以 回 
答 : 例如 ARP,ICMP 和 DNS。 
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。 使 用 ARP 检测 连接 随意 模式 : 每 个 ARP 分 组 包含 一 个 硬件 地 址 和 一 个 IP 地 
址 。 正 常 模式 下 ,接收 结 点 首先 检查 硬件 地 址 ,假如 地 址 指标 是 该 结 点 , 则 ARP 
的 IP 地 址 队列 被 处 理 。 假 如 硬件 地 址 和 主机 不 匹配 , 则 数据 链 路 层 拒绝 该 分 组 。 
然而 在 随意 模式 下 分 组 被 接收 ,并 产生 一 个 ARP 回答 响应 。 因 此 ,随意 模式 能 远 
程 检测 到 ,只 要 发 送 一 个 带 有 无 效 硬件 地 址 有 效 IP 地 址 的 ARP 分 组 , 送 到 每 个 
结 点 。 为 了 检测 随意 模式 ,不 同 的 系统 需要 不 同 的 ARP 分 组 ,因为 随意 模式 的 处 
理 是 基于 兼容 的 硬件 .驱动 器 的 操作 系统 的 组 合 。 

。 使 用 ICMP 检测 随意 模式 : ICMP 回答 分 组 (如 ping 分 组 ) 通 常 是 从 活动 主机 产 
生 一 个 ICMP 回答 。 多 个 ICMP 分 组 应 该 产生 多 个 具有 相似 延迟 的 回答 。 在 随 
意 模 式 下 , 结 点 接收 更 多 分 组 要 处 理 , 因 此 有 更 大 的 延迟 。 

。 使 用 DNS 检测 随意 模式 : 很 多 分 组 捕获 工具 ,根据 捕获 到 的 IP 地 址 查找 主机 名 。 
检控 DNS 请 求 能 决定 哪个 主机 正在 执行 很 多 主机 名 的 查找 。 


2 负载 攻击 

数据 链 路 层 基 本 上 是 一 个 软件 层 , 这 意味 着 需要 处 理 器 来 处 理 每 个 分 组 。 大 部 分 数 
据 链 路 地 址 过 滤 只 需 十 分 低 的 开销 ,而 高 层 经 常 需 要 消耗 更 多 CPU 资源 。 数 据 链 路 攻 
击 会 明显 增加 结 点 的 CPU 负载 。 

在 多 主机 的 网 络 ,每 个 主机 接收 每 个 广播 帧 ,这 些 帧 必须 通过 数据 链 路 层 , 在 该 层 以 
及 高 层 进行 处 理 。 简 单 的 接收 处 理 和 处 理 单 个 广播 报 文 帧 ,不 会 消耗 很 多 资源 。 但 是 上 
千 个 广播 分 组 的 处 理 , 对 结 点 产生 很 多 开销 ,对 实时 或 关键 服务 器 产生 严重 影响 。 


3 地 址 攻击 

大 部 分 地 址 机 制 允 许 一 个 结 点 改变 有 效 网 络 地 址 。 假 如 两 个 结 点 配置 成 相同 地 址 ， 
其 结果 是 两 者 都 被 拒绝 网 络 连接 。 

使 用 网 络 地 址 作为 访问 标记 的 系统 很 容易 被 挫 垮 。 攻 击 者 正 是 需要 将 地 址 改变 为 任 
何人 允许 值 , 在 随意 模式 下 观察 网 络 ,攻击 者 能 识别 可 接受 的 地 址 。 


4 帧 外 数据 

对 不 包含 在 报 文 帧 内 的 数据 通常 会 被 丢弃 。 然 而 不 包含 在 报 文 帧 的 信息 能 在 物理 层 
传输 。 这 个 帧 外 数据 能 节省 网 络 带宽 ,或 将 信息 转换 成 非 标准 形式 。 

运行 在 随意 模式 的 网 络 接口 可 以 接收 帧 外 数据 ,但 是 这 种 能 力 依赖 于 物理 层 和 数据 
链 路 层 之 间 的 接口 。 假 如 100Base-T 以 太 网 网 卡 可 获取 帧 内 和 帧 外 数据 ,但 无 线 网 卡通 
常 将 帧 外 数据 作为 噪声 丢弃 掉 。 

5 转换 通道 

数据 链 路 层 除了 成 帧 和 传播 数据 以 外 还 可 以 有 别 的 用 处 。 很 多 高 层 功 能 可 在 数据 链 
路 层 执行 。 攻 击 者 能 生成 后 门 和 类 似 数 据 链 路 层 协议 的 远程 控制 协议 。 例 如 ,信息 能 隐 
藏 在 标准 报 文 帧 以 外 ,而 大 部 分 结 点 将 忽略 这 些 数据 ; 当 目的 地 址 不 是 该 结 点 , 结 点 会 忽 
略 该 帧 ,无 效 地 址 信息 通常 不 检测 ;无效 帧 通常 要 丢弃 ,转换 通道 可 以 不 经 意 地 生成 带 有 
无 效 检查 和 的 帧 ;网 络 支 持 可 变 帧 长 ,可 用 来 通过 敏感 信息 , 且 难 以 检测 ;很 多 标准 协议 可 
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采用 非 标准 方式 来 隐藏 和 传输 信息 ,例如 ,ARP 在 ATM 网 能 很 容易 在 以 太 网 或 其 他 非 
ATM 网 工作 ,这 些 分 组 是 有 效 的 ,能 通过 网 桥 , 但 通常 是 不 能 检测 的 。 数 据 链 路 通道 通 
常 限于 本 地 网 使 用 。 


6 物理 风险 

理论 上 讲 ,数据 链 路 层 是 独立 于 物理 层 运行 的 ,物理 层 能 被 蔡 换 而 不 影响 数据 链 路 
层 ,例如 ,将 10Base-T 换 成 100Base-T 无 须 改变 数据 链 路 层 。 因 为 这 种 独立 性 ,数据 链 路 
层 对 所 有 物理 层 风 险 易 受 攻击 。 例 如 ,物理 层 攻击 者 能 直接 访问 数据 链 路 报 文 帧 ;物理 层 
攻击 者 能 窍 听 所 有 数据 链 路 通信 ;物理 层 攻 击 者 能 记录 和 回答 数据 链 路 通信 ,而且 回 答 数 
据 能 被 数据 链 路 层 接收 ;物理 层 攻 击 者 能 使 用 插入 攻击 生成 一 个 带 有 有 效 数 据 链 路 报 文 
帧 的 负载 攻击 。 


642 数据 链 路 层 风险 缓解 方法 


有 若干 种 缓解 数据 链 路 风险 的 方法 ,包括 硬 编码 硬件 地 址 数据 链 路 和 高 层 身份 鉴别 
机 制 以 及 一 些 分 析 器 和 工具 。 


1 硬 编码 

虽然 对 点 到 点 网 络 的 拦截 风险 是 很 低 的 ,但 对 多 结 点 网 络 数据 链 路 地 址 系统 的 攻击 
是 易于 损坏 的 。 攻 击 者 能 拦截 和 重 指 硬件 地 址 。 为 了 缓解 这 个 问题 ,地 址 表 可 设置 成 静 
态 地 址 。 虽 然 对 大 的 动态 网 络 这 种 方法 未 必 是 可 行 的 ,但 静态 地 址 表 对 攻击 者 企图 攻击 
动态 地 址 表 确实 可 提供 一 种 防护 。 

静态 地 址 表 对 改变 已 建立 的 系统 进行 防护 ,并 阻止 非 授权 的 连接 。 例 如 ,一 个 拨号 服 
务 器 可 存储 一 张 可 接受 的 呼叫 者 ID 值 的 表 ,呼叫 者 如 果 提 供 不 同 的 呼叫 者 ID 值 就 会 被 
拒绝 。 又 如 ,很 多 无 线 网 络 限制 客户 只 使 用 允许 的 无 线 MAC 地 址 访问 。 


2 数据 链 路 身份 鉴别 

少数 数据 链 路 层 协议 实施 加 密 ,数据 链 路 协议 加 密 的 处 理 开销 是 很 昂贵 的 ,对 繁忙 的 
网 络 易 受 负载 攻击 。 代 替 的 办 法 ,有 两 种 主要 的 密码 解决 方法 ,由 RFC 1334 定义 的 
CHAP 和 了 PAP, 这 些 方法 最 初 是 用 于 点 对 点 连接 。 

挑战 握手 身份 鉴别 协议 CHAP(The Challenge-Handshake Authentication Protocol) 
使 用 共享 密 钥 对 初始 网 络 连 接 进行 身份 鉴别 。CHAP 提供 了 一 种 方法 对 两 个 结 点 进行 
身份 鉴别 ,但 是 在 连接 建立 后 不 执行 任何 验证 或 加 密 。 

口令 身份 鉴别 协议 PAP(The Password Authentication Protocol) 比 CHAP 要 简单 
得 多 ,登录 凭证 (id 和 口令 ) 用 明文 从 客户 传送 到 服务 器 。 假 如 服务 器 接收 凭证 , 则 允许 
连接 。PAP 没有 加 密 , 对 拦截 或 回答 攻击 没有 保护 。 

3 高 层 身份 鉴别 

保护 数据 链 路 层 最 普遍 的 方法 是 依靠 高 层 协议 。 假 设 任 何 身份 鉴别 、 验 证、 密码 系统 
将 运行 在 高 层 以 防止 拦截 ,回答 以 及 其 他 网 络 攻 击 。 但 是 这 种 假设 通常 是 不 正确 的 。 高 
层 协议 有 可 能 不 提供 安全 机 制 , 有 可 能 提供 弱 的 安全 方案 。 只 有 少数 高 层 协议 对 数据 链 
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路 层 进行 身份 鉴别 。 
4 分 析 器 和 工具 


诸如 IDS 和 IPS 这 些 网 络 应 用 软件 依靠 随意 模式 下 监控 网 络 的 能 力 。 诸 如 
Tcpdump,Snort 和 Ethereal 这 类 工具 容易 收集 、 识 别 和 分 析 非 预期 的 网 络 通信 。 


65 ”PPP 和 SLIP 的 风险 


PPP 和 SLIP 最 大 的 风险 是 身份 鉴别 ,双向 通信 和 用 户 教育 。 虽 然 窃 听 、 回 答 以 及 插 
入 攻击 是 可 能 的 ,但 这 些 攻 击 需 要 访问 物理 层 。 因 为 点 到 点 网 络 只 有 两 个 结 点 在 网 上 , 物 
理 层 的 威胁 对 数据 链 路 层 通常 不 是 主要 的 考虑 因素 。 


1 身份 鉴别 

SLIP 不 提供 身份 鉴别 机 制 ,而 PPP 支持 PAP 和 CHAP 身份 鉴别 。PAP 使 用 一 个 
简单 的 凭证 系统 ,包含 用 户 名 和 口令 , 送 到 服务 器 的 用 户 名 和 口令 不 加 密 , 然 后 对 已 知 的 
凭证 进行 验证 。 

CHAP 使 用 一 个 更 复杂 的 系统 , 它 是 基于 密 钥 交换 和 共享 密 钥 ,如 图 6-3 所 示 。 它 不 
是 直接 发 送 凭证 ,CHAP 从 客户 端 发 送 一 个 用 户 名 到 服务 器 ( 即 身 份 鉴别 器 ) ,服务 器 用 
一 个 8 位 的 ID 和 一 个 可 变 长 的 随机 数 回答 。ID 用 来 匹配 挑战 响应 ,以 保持 CHAP 会 
话 。 客 户 返 回 一 个 ID .共享 密 钥 和 随机 数 的 MD5 哈 希 函数 。 服 务 器 计算 自己 的 哈 希 函 
数 并 和 客户 的 哈 希 函数 进行 比较 。 如 果 两 者 匹配 , 则 表示 有 相同 的 共享 密 钥 。 


同 级 鉴 
Pr (or 
过关 站 户 各 上 | 产生 ID 和 随机 数 


DT 和 MD5 | 。 人 发送 殉 抽 
(ID. 密 钥 . 随 机 数 ) (ID 、 随机 数 ) 


Oi 
一 一 一 一 和 外 计 算 回答 MD5 
发 送 回答 。 | (ID、 密 钥 、 随 机 数 ) 
从 同 级 检查 回答 

1 
© 抽 所 丰 TS 


CHAP 完 成 发 送 状态 


图 6-3 CHAP 处 理 


CHAP 的 身份 鉴别 相当 安全 ,可 用 于 易 受 窃听 攻击 的 网 络 。 然 而 ,CHAP 有 两 个 局 
限 性 ,首先 , 它 只 是 在 启动 连接 时 进行 身份 鉴别 ,之 后 PPP 不 提供 安全 , 某 些 攻击 者 具有 
在 身份 鉴别 后 拦截 连接 进行 窃听 的 能 力 。 其 次 ,假如 窃听 者 捕获 到 两 个 不 长 的 随机 数 的 
协商 ,那么 ,对 蛮 力 攻击 , 哈 希 函数 可 能 易 受 攻击 。 

对 PAP 和 CHAP, 服 务 器 都 必须 保存 带 有 全 部 凭证 信息 的 文件 。 但 它们 都 不 支持 
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强 的 身份 鉴别 方法 ,传输 的 数据 又 没有 加 密 , 因 此 ,窃听 者 能 看 到 登录 凭证 。 


2 双向 通信 

PPP 和 SLIP 提供 全 数据 链 路 支持 , 结 点 可 和 远程 网 络 通信 。 远 程 网 络 也 可 和 该 结 
点 通信 。 也 就 是 PPP 和 SLIP 提供 全 双向 通信 支持 。 因 此 ,任何 运行 在 远程 客户 的 网 络 
服务 可 被 整个 网 络 访问 。 大 部 分 拨号 用 户 并 不 使 用 防火 墙 ,因此 ,开放 网 络 服务 系统 易于 
受 攻 击 。 

软件 防火 墙 或 家 庭 拨号 防火 墙 提供 缓解 方法 ,以 减缓 开放 网 络 服务 的 风险 。 


3 用 户 教育 

大 部 分 拨号 .DSL 和 电缆 modem 用 户 并 未 意识 到 他 们 的 连接 是 双向 的 。 更 糟 的 是 
有 些 防 火 墙 和 在 线 游戏 ,会 议 系 统 软 件 是 冲突 的 。 这 样 , 即 使 有 防火 墙 , 仍 然 有 风险 。 

对 高 速 拨号 连接 诸如 DSL 和 ATM 使 用 点 到 点 物理 连接 ,DSL 使 用 PPPoE (PPP 
over Ethernet) ,ATM 使 用 PPPoA(PPP over ATM)。 对 这 些 配 置 ,数据 链 路 层 提 供 虚拟 
的 透明 连接 。 物 理 层 访问 的 攻击 者 并 不 会 被 任何 数据 链 路 安全 措施 所 阻止 。 


6.6 MAC 和 ARP 的 风险 


661 MAC 的 风险 


虽然 MAC 对 网 上 的 主机 间 提 供 了 信息 通信 的 方法 ,但 是 它 也 引入 了 潜在 的 攻击 因 
素 。 攻 击 者 可 以 利用 MAC 信息 来 侦察 伪装 和 基于 负载 的 直接 攻击 。 


1. 硬件 框架 (prdiling) 攻 击 

攻击 的 第 一 步 是 侦察 。 攻 击 者 盲目 地 企图 攻击 一 个 未 知 系统 是 很 少 会 成 功 的 。 组 织 
的 唯一 标识 OUICorganizationally,unique identifies) 对 攻击 者 提供 了 硬件 和 操作 系统 的 
信息 ,例如 ,攻击 者 发 现 带 有 OUI 为 00:0D:93 的 源 MAC 地 址 ,就 可 知 是 Apple 计算 机 ， 
操作 系统 是 Mac OS;OUI 为 00:20:F2 表示 运行 Sun OS 或 Solaris 的 Sun Microsystems 
计算 机 。 

对 数据 链 路 层 的 攻击 需要 直接 物理 层 访问 。 虽 然 硬件 框架 是 可 行 的 信息 侦察 技术 ， 
但 攻击 者 需要 已 知 系统 的 类 型 。 为 了 模糊 硬件 框架 ,大 多 数 网 络 驱动 器 允许 改变 MAC 
地 址 。 改 变 MAC 地 址 的 方法 ,对 不 同 操作 系统 是 不 同 的 ,而 某 些 驱动 器 并 不 支持 。 


2 伪装 攻击 
具有 管理 特权 的 用 户 能 改变 MAC 地 址 。 攻 击 者 可 以 故意 改变 地 址 ,并 复制 到 网 上 另 
一 结 点 。 假 如 这 两 个 系统 同时 在 网 上 活动 ,两 者 会 互相 干扰 ,这 就 成 为 有 效 的 DoS 攻击 。 
在 某 种 情况 下 ,两 个 相同 硬件 地 址 的 结 点 能 在 网 上 共存 。 假 如 两 者 使 用 不 同 的 网 络 
层 服 务 ,或 不 同 的 数据 链 路 服务 访问 点 SAPs .就 可 没有 干扰 地 同时 运行。 这 种 类 型 的 伪 
装 可 以 旁 路 某 些 IDSs, 特 别 是 对 基于 硬件 地 址 过 滤 的 特定 结 点 。 
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3 负载 攻击 

作为 OUI 的 组 成 部 分 ,第 一 个 八 位 包含 地 址 标志 ,其 中 最 低位 指示 多 播 分 组 ,奇数 值 
是 多 播 ,FF 是 指 广播 分 组 。 攻 击 者 能 很 快 发 起 一 个 负载 攻击 ,因为 它 能 将 地 址 改变 为 多 
播 或 广播 地 址 。 虽 然 这 对 攻击 者 的 系统 没有 影响 ,但 网 上 其 他 结 点 将 处 理 攻 击 者 发 来 的 
每 个 分 组 。 


662 ARP 和 RARFP 的 风险 


ARP(The Address Resolution Protocol) 将 IP 地 址 转换 成 硬件 地 址 ,而 RARP(CThe 
Reverse Address Resolution Protocol) 则 将 硬件 地 址 转换 成 IP 地 址 。ARP 和 RARP 请 
求 是 广播 分 组 ,并 含有 询问 信息 。 例 如 ,ARP 请 求 包含 一 个 IP 地 址 ,所 有 在 网 上 的 结 点 
接收 到 广播 信息 ,但 只 有 一 个 结 点 确认 该 IP 地 址 ,并 发 送 一 个 回答 报 文 给 询问 主机 。 查 
询 结 果 存 在 一 张 ARP 表 ,ARP 表 列 出 所 有 在 局 域 网 上 响应 ARP 请 求 的 结 点 。 


1. AFP 损 坏 (Poisoning) 

映射 IP 地 址 到 硬件 地 址 或 反之 ,对 网 络 连 接 会 产生 一 个 延迟 。ARP 表 包 含 一 个 临 
时 的 缓存 ,以 存储 最 近 看 到 的 MAC 地 址 。 因 此 ,只 有 一 个 新 的 IP 地 址 (或 MAC 地 址 ) 要 
查找 时 , 才 需 要 ARP 分 组 。 但 是 当 一 个 无 效 的 或 不 经 意 的 差错 进入 ARP 表 , 这 个 缓冲 
就 会 使 系统 的 ARP 受 损 。 


2 AFP 受 损 的 影响 

ARP 受 损 的 影响 包括 资源 攻击 .DoS 攻击 和 MitM 攻击 。 

(1) 资源 攻击 

一 些 系 统 能 缓冲 ARP 条 目的 数 是 有 限 的 , 当 大 量 假 的 ARP 条 目 发 送 ,ARP 表 会 填 
满 。 当 填 满 后 ,有 两 种 处 理 选择 : 忽略 新 的 ARP 或 丢掉 老 的 ARP 条 目 。 假 如 系统 忽略 
新 的 ARP 条 目 , 则 局 域 网 上 新 的 结 点 不 能 再 联络 。 假 如 丢掉 老 的 ARP 条 目 , 结 果 是 网 
络 性 能 会 更 慢 , 因 为 对 每 个 系统 要 发 送 的 分 组 经 常 需要 ARP 查询 。 

(2) DoS 攻击 

新 的 ARP 回答 对 ARP 表 中 老 的 ARP 回答 进行 重 写 。 假 如 这 是 用 一 个 坏 的 MAC 
地 址 重 写 ,那么 将 来 连接 到 重 写 的 结 点 的 IP 地 址 将 失败 ,因为 它 将 送 到 错误 的 MAC 
地 址 。 

(3) MitM 攻击 

MitM 攻击 通过 一 个 敌意 的 结 点 路 由 所 有 的 通信 。 和 DoS 攻击 类 似 ,ARP 表 的 条 目 
用 不 同 的 机 器 的 MAC 地 址 重 写 。 在 这 种 情况 下 ,新 的 结 点 将 接 到 所 有 指向 老 的 结 点 的 
通信 。 通 过 损坏 两 者 ,敌意 结 点 能 建立 一 个 成 功 的 MitM, 如 图 6-4 所 示 。 

3 缓解 AFP 的 受 损 

虽然 ARP 受 损 攻击 仅 限 于 本 地 网 ,ARP 分 组 并 不 通过 网 桥 、 路 由 器 或 网 关 。ARP 
攻击 范围 是 有 限 的 ,但 仍然 影响 网 络 安 全 。 限 制 ARP 攻击 影响 的 方法 包括 硬 编码 ARP 
表 、ARP 条 目 超时 、 过 滤 ARP 回答 以 及 锁 住 ARP 表 。 
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主机 1 主机 2 


HIARP 表 全 ) ARP 请 求 (2) 
空 
ARP 回 答 
Qn) 00:1 


1:22:33:44:55:66 2 
HIARP 表 受 损 ARP 回 答 
HE 12:34:56:78:11:23 12i34:96:7 8 :22 


HI ARP 表 (mn) 联络 H2 -4) 
H2 12:34:56:78:11:22 


图 6-4 作为 MitM 攻击 的 ARP 受 损 


HI ARP 表 
H2 00:11:22:33:44:55:66 


(1) 硬 编码 ARP 表 

通常 收 到 每 个 ARP 回答 时 ,动态 产生 ARP 表 , 然 而 利用 操作 系统 命令 arp, 可 以 静态 
产生 ARP 表 。 这 个 命令 静态 设置 MAC 地 址 和 IP 地 址 对 到 ARP 表 , 并 阻止 进一步 修改 。 

(2) ARP 过 期 

在 ARP 表 中 缓存 条 目 可 以 超时 ,对 超时 的 条 目 ,MAC 地 址 和 IP 地 址 对 可 从 ARP 
表 中 移 走 。 该 方法 仅 能 限制 资源 攻击 的 影响 。 

(3) 过 滤 ARP 回答 

并 非 每 个 ARP 回答 必须 插入 ARP 表 。Linux 和 BSD 仅 对 本 地 主机 送 来 的 ARP 请 
求 缓存 条 目 。 这 可 阻止 未 经 请 求 的 ARP 回答 进入 ARP 表 。 但 Windows 操作 系统 接受 
未 经 请 求 的 ARP 回答 ,并 将 其 插入 ARP 表 。 虽 然 ARP 回答 过 滤 能 阻止 未 经 请 求 的 条 
目 , 但 它 并 不 阻止 来 自重 写 已 有 条 目的 新 的 回答 。 

(4) 锁 住 ARP 表 

ARP 表 能 暂时 锁 住 。 在 这 种 情况 下 ,一 个 已 经 建立 的 连接 能 在 短期 内 锁 住 ARP 表 
条 目 。 在 这 期 间 , 新 的 ARP 回答 不 能 重 写 已 经 锁 住 的 表 条 目 , 以 确保 已 建立 的 连接 不 能 
改变 ,从 而 缓解 了 MitM 攻击 。MitM 攻击 只 能 在 极 短 时 间 内 有 可 能 启动 , 即 系统 的 ARP 
请 求 到 启动 网 络 连接 这 一 短暂 片刻 。 


4 交换 机 攻击 

交换 机 和 网 桥 的 网 络 结 点 易 受 中 毒 攻击 和 活 没 攻击 。 

(1) 交换 机 中 毒 攻击 

交换 机 保持 一 些 ARP 表 以 路 由 通过 交换 机 到 特定 的 物理 网 络 端口 的 通信 。ARP 中 
毒 攻击 能 破坏 ARP 表 。 中 毒 的 ARP 回答 能 和 不 同 端口 的 另 一 个 结 点 的 MAC 地 址 联系 
起 来 。 这 就 有 效 地 将 受 损 结 点 从 网 上 隔断 ,本 来 打算 送 到 受 损 结 点 的 所 有 通信 会 通过 攻 
击 者 的 端口 。 因 为 交换 机 中 毒 后 重新 引导 网 络 通信 ,使 攻击 者 得 以 拦截 连接 。 

(2) 交换 器 淹没 攻击 

在 正常 情况 下 ,交换 机 和 网 桥 保 证 结 点 只 接收 到 本 地 物理 网 的 通信 。 攻 击 者 利用 
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ARP 中 毒 能 淹没 交换 机 的 ARP 表 。 因 为 交换 机 承受 不 起 这 么 多 的 分 组 ,大 部 分 交换 机 
当 交 换 机 和 ARP 表 满 时 ,退回 到 hub 状态 。 在 这 种 状态 ,所 有 结 点 接收 所 有 通信 ,运行 
在 随意 状态 的 结 点 能 接收 通过 交换 机 的 全 部 网 络 通信 。 

大 部 分 网 桥 和 高 端 交 换 机 支持 静态 ARP 条 目 , 使 用 静态 ARP 表 时 ,这 些 网 络 设备 
就 能 缓解 交换 机 淹没 和 中 毒 的 影响 。 


6.7 网络 层 风险 及 安全 


671 路 由 风险 


网 络 路 由 器 用 于 和 远 距 离 网 络 通信 的 一 种 可 选 方 案 。 对 路 由 器 的 直接 攻击 至 少 会 干 
扰 和 其 他 网 络 通信 的 能 力 。 即 使 物理 和 数据 链 路 层 未 受 损 ,网 络 层 能 受 损 ,以 阻止 网 络 
路 由 。 

基于 路 由 器 的 攻击 有 以 下 几 种 方式 : 直接 攻击 、 表 中 毒 、 表 活 没 .度量 攻击 以 及 路 由 
器 环 路 攻击 。 


1 直接 路 由 器 攻击 

直接 路 由 器 攻击 有 DoS 和 系统 破坏 两 种 方式 。DoS 阻止 路 由 器 执行 基本 路 由 任务 ， 
使 网 络 不 能 有 效 地 连接 。 大 部 分 是 基于 负载 攻击 ,假如 在 特定 接口 的 网 络 值 太 高 ,路 由 器 
将 无 法 管理 通信 ,包括 来 自 其 他 网 络 接口 的 通信 。 

路 由 器 损坏 虽然 很 少见 ,但 是 可 能 的 。 路 由 器 能 配置 成 转发 通信 到 不 同 的 主机 , 阻 断 
来 自 特定 主机 的 通信 ,或 任意 分 配 新 的 子 网 。 因 为 路 由 器 扩展 多 个 子 网 , 受 损 的 路 由 器 会 
影响 连 到 它 的 每 个 网 络 的 完整 性 和 隐私 性 。 


2 路 由 表 中 毒 

少数 网 络 协议 对 网 络 通信 进行 身份 鉴别 ,伪造 的 或 受 损 的 网 络 通信 能 重 写 .插入 或 移 
去 路 由 表 的 条 目 , 其 结果 是 和 受 损 路 由 器 没有 多 大 区 别 。 

网 络 层 协议 支持 动态 路 由 表 , 基 于 观察 到 的 通信 自动 生成 和 更 新 路 由 表 。 这 类 协议 
更 易 受 攻击 ,因为 其 一 ,新 结 点 可 能 生成 中 毒 数据 ;其 二 ,很 少 动态 结 点 是 可 以 验证 的 。 关 
键 路 由 器 应 使 用 静态 路 由 表 以 阻止 中 毒 。 


3 路 由 表 淹 没 
路 由 器 通常 没有 大 的 硬 驱动 或 RAM 来 存储 路 由 表 , 路 由 表 的 容量 是 有 限 的 。 如 果 
不 用 静态 路 由 ,设备 要 管理 路 由 过 期 和 路 由 表 满 。 攻 击 者 可 生成 假 的 数据 ,路 由 器 用 它 来 
生成 路 由 表 。 当 路 由 表 满 时 ,路 由 器 有 3 种 选择 : 忽略 新 的 路 由 、 清 除 老 的 路 由 ,或 清除 
最 坏 的 路 由 。 清 除 新 的 路 由 ,虽然 攻击 者 无 法 清除 已 建立 的 表 条 目 , 但 阻止 了 新 的 有 效 的 
条 目 插入 路 由 表 。 清 除 老 的 路 由 ,使 大 的 淹没 攻击 能 将 已 建立 的 表 条 目 都 清除 。 清 除 最 
坏 的 路 由 ,可 使 一 些 理想 的 路 由 改 成 别 的 路 由 。 大 部 分 动态 路 由 表 也 支持 静态 条 目 ,关键 

路 由 应 配置 成 静态 。 
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4 路 由 度量 攻击 

路 由 度量 攻击 使 路 由 表 的 动态 度量 中 毒 。 这 种 攻击 可 使 一 些 好 的 通路 似乎 成 为 不 期 
望 的 。 例 如 ,网 络 层 协议 支持 质量 服务 QoS 分 组 ,采用 流 控 决定 连接 质量 。 攻 击 者 可 伪 
造 DoS 分 组 来 修改 动态 度量 ,结果 是 更 慢 的 吞吐 量 , 更 长 的 路 径 和 更 昂贵 的 网 络 开销 。 

固定 路 径 应 使 用 静态 度量 。 对 动态 度量 是 关键 的 网 络 ,应 调整 刷新 速率 ,使 路 由 器 能 
经 常 检查 期 望 的 路 由 。 


5 路 由 器 环 路 攻击 

很 多 网 络 协议 企图 检测 和 阻止 网 络 环 路 ,因为 它 会 引起 过 多 的 频 宽 消耗 ,从 而 消耗 掉 
所 有 可 用 的 网 络 频 宽 。 诸如 BGP (Border Gateway Protocol) 和 RIP(Routing Information 
Protocol) 都 提供 检测 网 络 线路 的 方法 。 

当 网 络 路 由 器 识别 了 一 个 网 络 环 路 ,就 将 该 路 径 从 路 由 表 中 移 去 。 而 环 路 攻击 者 产 
生 一 个 假 的 回答 给 环 路 检查 ,使 路 由 器 虚假 地 认为 是 网 络 环 路 。 结 果 是 一 个 理想 的 网 络 
路 径 被 去 除 。 虽 然 静态 度量 能 阻止 路 由 表 和 度量 攻击 ,但 环 路 攻击 仍然 能 切除 预期 的 
路 径 。 


672 地 址 机 制 的 风险 


网 络 层 并 未 定义 对 地 址 的 身份 鉴别 和 验证 。 基 于 数字 的 和 名 字 的 地 址 机 制 容易 受到 
假 地 址 和 拦截 的 攻击 。 


1 假 地 址 

当 两 个 结 点 有 相同 的 网 络 层 地 址 ,就 会 产生 冲突 。 但 是 对 高 可 用 性 的 簇 (cluster) ,两 
个 结 点 有 相同 的 网 络 地 址 是 可 行 的 , 当 一 个 结 点 不 能 用 时 , 男 一 结 点 接收 网 络 通信 ,使 数 
据 不 丢失 。 但 假 地 址 能 阻止 结 点 接收 分 组 ,导致 网 络 连 接 中 断 。 


2 地 址 拦截 

当 同 一 子 网 上 两 个 结 点 具有 相同 的 网 络 地 址 , 则 响应 快 的 结 点 能 维持 网 络 连接 ,如 果 
一 个 结 点 一 直 响 应 慢 , 则 所 有 网 络 通信 被 锁 住 。 具 有 快 的 结 点 的 攻击 者 可 以 在 随意 模式 
下 观察 网 络 通信 ,假如 和 另 一 结 点 具有 相同 网 络 地 址 , 则 可 拦截 已 建立 的 网 络 连接 。 

当 用 户 不 经 意 地 将 计算 机 地 址 配置 成 已 经 使 用 的 网 络 地 址 ,最 坏 的 情况 是 将 路 由 器 
的 本 地 网 络 地 址 分 配给 一 个 快速 工作 站 ,就 会 有 效 地 阻止 网 上 所 有 结 点 和 该 路 由 器 的 
通信 。 

3 假释 放 攻 击 

大 部 分 动态 地 址 分 配 机 制 提供 地 址 再 分 配 的 方法 。 当 一 个 结 点 不 需要 网 络 地 址 时 ， 
可 通知 分 配 服 务 器 释放 该 地 址 ,并 可 分 配给 其 他 结 点 。 假 释放 攻击 是 攻击 者 伪装 一 个 已 
分 配 的 地 址 ,并 释放 它 。 结 果 是 受害 结 点 开始 运行 一 个 未 分 配 的 网 络 地 址 ,造成 假 地 址 
攻击 。 


4 假 的 动态 分 配 
当 一 个 结 点 需要 一 个 新 的 网 络 地 址 时 , 它 必 须 首先 和 分 配 服务 器 联系 。 攻 击 者 可 以 
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配置 自己 的 分 配 服务 器 ,并 且 响 应 分 配 请 求 比 原来 的 分 配 服务 器 更 快 。 

分 配 响 应 通常 包括 一 系列 的 配置 信息 ,例如 , DHCP 通常 提供 一 个 IP 地 址 、 掩 码 地 
址 、 默 认 网 关 以 及 DNS 服务 器 列表 。 攻 击 者 能 有 效 地 提供 假 信息 给 新 的 结 点 ,并 建立 一 
个 基于 网 络 路 由 器 的 MitM 攻击 。 


673 分 段 的 风险 


所 有 分 段 机 制 有 两 个 主要 风险 : 丢失 分 段 和 组 装 数据 的 容量 。 此 外 分 段 管理 的 类 型 
能 导致 丢失 数据 分 段 。 


1 丢失 分 段 攻击 

一 个 大 的 分 组 要 等 接收 到 全 部 分 段 才能 处 理 , 每 个 分 段 必须 保存 在 分 配给 堆栈 的 内 
存 中 ,而 内 存 的 容量 通常 是 有 限 的 。 当 内 存 满 时 ,就 无 法 接收 更 多 分 段 分 组 。 

丢失 分 段 攻击 发 生 在 当 一 个 大 的 分 组 分 段 时 ,有 一 个 分 段 永远 未 传递 。 这 个 攻击 会 
消耗 分 配给 网 络 协议 的 资源 。 为 此 通常 设置 一 个 分 段 超时 值 ,譬如 30 秒 。 这 意味 着 分 段 
攻击 至 少 在 30 秒 内 必须 重复 ,以 有 效 消耗 系统 资源 。 这 个 值 对 不 同 操作 系统 是 不 一 
样 的 。 

此 外 ,大 部 分 系统 分 配 一 个 最 大 内 存 大 小 用 于 分 段 组 装 。 假 如 分 段 数据 的 总 量 大 于 
最 大 分 配 内 存 , 那 么 分 段 被 丢弃 ,直到 超时 为 止 。 这 将 导致 处 理 分 段 的 临时 DoS。 

对 丢失 分 段 攻击 有 潜在 受 攻击 的 系统 ,超时 和 内 存 分 配 值 能 修改 ,以 达到 最 佳 值 。 


2 最 大 的 不 分 段 大 小 

很 少 分 段 管 理 机 制 传输 整个 分 组 ,通常 结束 分 段 分 组 用 来 标识 最 后 的 分 段 。 因 为 整 
个 分 组 大 小 是 未 知 的 ,网 络 协议 应 能 接收 最 大 的 重组 分 组 。 例 如 ,IP 报头 规定 13 位 作为 
分 段 偏 移 (offset) ,这 就 意味 着 最 大 的 偏 移 值 是 16 383 字 节 。 连 同 最 大 的 IP 数据 大 小 为 
65471 字 节 (65535 字 节 分 组 减 去 64 字 节 报头 ) ,IP 分 段 机 制 在 分 段 以 前 的 最 大 数据 大 小 
为 81854 字 节 。IP 不 能 传输 大 于 80KB 的 单个 数据 块 。 大 部 分 标准 协议 规定 数据 长 度 
小 于 这 最 大 值 。 


3 分 段 重组 

分 段 须 标识 以 说 明 分 段 的 次 序 。 有 两 种 情况 导致 潜在 的 攻击 : 分 段 重复 和 分 段 铸 盖 。 
如 果 同 样 的 分 段 ID 出 现 两 次 ,就 造成 分 段 重 复 , 也 有 可 能 重复 的 分 段 包含 不 同 数据 。 有 3 
种 选择 可 实施 : 忽略 第 二 次 分 段 , 在 第 一 次 分 段 上 重 写 ,以 及 作为 差错 清除 所 有 分 段 。 

诸如 IP,IPv6 协议 规定 分 段 偏 移 ,但 偏 移 覆 盖 会 产生 和 分 段 重复 相 类 似 的 情况 。 


674 质量 服务 


因为 网 络 通信 中 继 通过 未 知 的 主机 :网络 结 点 无 法 区 分 真 的 QoS 分 组 和 伪造 的 分 
组 。 攻 击 者 可 能 利用 QoS 功能 来 隐藏 或 拦截 网 络 通信 。 

网 络 层 提供 建立 和 释放 网 络 连接 的 功能 ,也 保证 相同 结 点 间 建 立 多 个 连接 ,而 不 会 产 
生 通 信 干 扰 。 连 接管 理 包括 传递 确认 和 面向 连接 的 各 种 服务 。 
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假 的 分 组 可 以 请 求 一 个 结 点 降低 速率 或 发 送 更 小 的 分 组 ,导致 损坏 通信 性 能 。 

攻击 者 可 以 将 已 建立 的 网 络 ,连接 重新 指向 一 个 不 同 的 远程 主机 ,这 可 以 导致 MitM 
或 拦截 攻击 ,最 坏 的 情况 能 引起 DoS 攻击 。 

假 的 差错 报告 能 引起 过 早 地 使 连接 断 开 (DoS)。 此 外 ,有 些 工具 能 跟踪 防火 墙 内 的 
主机 ,在 已 建立 的 连接 复制 分 组 ,并 改变 TTL。 由 于 TTL 超时 产生 的 差错 返回 至 呼叫 
者 ,这 使 攻击 者 能 在 远程 网 上 进行 侦察 。 

结 点 的 状态 能 用 于 简单 的 侦察 ,阻止 目标 可 达 和 导致 更 多 危害 的 攻击 。 最 简单 的 分 
布 拒绝 服务 DDoS 是 Smurf 攻击 ,在 这 个 攻击 下 ,一 个 主机 能 生成 很 多 回应 (echo) 请 求 ， 
送 到 网 上 很 多 主机 ,每 个 回应 请 求 指 定 一 个 伪造 发 送 者 一 一 DDoS 的 目标 。 其 结果 是 回 
应 回答 炸弹 送 至 目标 结 点 。 足 够 大 的 攻击 能 摧 垮 大 的 网 络 , 因 为 大 量 的 回应 回答 的 产生 。 

任何 能 伪造 重 置 分 组 的 攻击 者 能 有 效 切断 网 络 连 接 。 这 些 攻击 的 有 效 性 是 基于 网 络 
协议 。 例 如 IPv6 使 用 密码 来 加 密 网 络 连接 ,这 使 攻击 者 很 难 成 功 伪造 一 个 重新 指向 或 重 
新 设置 分 组 。IP,IPX 这 些 协 议 , 相 对 来 说 只 有 较 弱 的 保护 。 


675 网 络 层 安 全 


网 络 层 提供 很 多 服务 ,以 确保 成 功 的 互联 网 数据 传递 ,但 它 没有 描述 网 络 安全 传输 的 
方法 ,大 部 分 网 络 层 协议 没有 实施 身份 鉴别 、 验 证 及 保护 网 络 数据 。 网 络 层面 临 的 风险 包 
括 窃 听 、 伪 装 以 及 插入 攻击 。 

大 部 分 网 络 层 协议 对 来 自 低层 的 风险 ,诸如 数据 链 路 拦截 和 回答 攻击 没有 提供 缓解 
方法 。 它 假设 安全 预防 措施 由 高 层 协 议 实 施 。 虽 然 很 少 有 密码 解决 方案 ,但 是 很 好 地 选 
择 网 络 体系 结构 以 及 过 滤 应 用 能 缓解 很 多 安全 风险 ,此 外 网 络 的 不 兼容 能 阻止 某 些 安全 
攻击 风险 。 


1 安全 协议 

网 络 层 并 不 定义 安全 预防 方法 ,安全 由 某 些 专门 的 网 络 协议 解决 。 像 下,IPX 这 些 通用 
协议 只 提供 简单 的 检查 和 ,虽然 它 能 检测 某 些 数据 差错 ,但 对 检测 攻击 者 没有 多 大 用 。 

少数 网 络 层 协议 描述 包括 安全 可 选 方案 。IPv6 和 IPSec 是 两 个 著名 的 安全 协议 例 
子 。IPSec 是 一 个 附加 在 IP 上 的 面向 安全 的 协议 ,包括 身份 鉴别 报头 、 数 据 封装 以 及 密 
钥 交 换 方法 。 

IPv6 不 同 于 IPSec, 后 者 是 IP 协议 的 扩展 ,前 者 完全 是 重新 设计 的 。 除 了 IP 地 址 空 
间 的 扩展 ,IPv6 包括 加 密 的 身份 鉴别 和 数据 封装 。 


2 网 络 不 兼容 能 力 
大 部 分 网 络 应 用 包括 管理 传输 和 网 络 层 协议 。 例 如 ,从 IP 转换 到 IPX 会 使 网 络 无 
法 实施 Web 浏览 ,电子 邮件 和 其 他 面向 网 络 的 工具 。 
虽然 IPv6 支持 数据 加 密 ,但 很 多 高 层 协议 和 应 用 不 支持 IPv6。 网 络 层 可 以 提供 各 
种 安全 特点 ,但 有 些 高 层 协议 却 不 能 访问 。 
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3 体系 结构 

物理 网 拓扑 结构 提供 某 些 内 在 的 安全 特点 。 限 制 访问 物理 层 可 减少 窃听 拦截、 回答 
攻击 的 风险 。 攻 击 者 如 果 看 不 到 网 络 通信 ,就 只 能 盲目 攻击 和 猜测 攻击 网 络 。 

虽然 数据 链 路 层 具 有 身份 鉴别 和 加 密 隧道 的 安全 ,诸如 CHAP 或 VPN ,但 它们 仅仅 
保护 数据 链 路 连接 。 敌 意 的 网 络 层 通信 能 进入 数据 链 路 隧道 ,和 正常 的 网 络 层 通 信和 一样 
得 到 允许 和 保护 。 


4 安全 过 滤 

根据 IP 地 址 的 过 滤器 操作 能 缓解 某 些 身份 鉴别 。 例 如 ,基于 应 用 的 网 络 服务 器 ( 诸 
如 iptable 或 tchwrapper) 能 限制 基于 客户 的 IP 地 址 的 访问 。 又 如 ,inetd. sec 文件 和 
xinetd 提供 的 过 滤 能 限制 访问 spawned 服务 器 。 虽 然 这 些 方法 是 在 模糊 安全 的 水 平 ,但 
是 攻击 者 必须 知道 可 接受 的 网 络 地 址 来 访问 服务 器 。 


5 防火 墙 和 出 口 过 滤 

防火 墙 能 在 路 由 器 内 实施 ,并 基于 IP 地 址 限制 访问 。 路 由 器 不 是 路 由 所 有 通信 ,只 
有 来 自 专门 网 络 接口 的 通信 能 访问 。 虽 然 远 程 攻击 者 伪装 不 同 的 IP 地 址 ,但 它们 并 不 能 
接收 和 回答 ,除非 它们 在 目标 主机 和 伪装 网 络 之 间 的 路 径 。 

过 滤 入 口 通 信 能 减少 伪装 攻击 的 成 功 ,但 它 并 不 能 阻止 来 自 源 点 伪装 的 网 络 。 出 口 
过 滤 能 基于 网 络 地 址 限制 分 组 中 继 。 例 如 ,假如 路 由 器 链接 10. 1. X. X 子 网 到 192. 168. 
X.X 子 网 ,那么 它 不 期 望 能 看 到 以 192. 168 开始 的 IP 地 址 到 10. 1.X.X 的 接口 。 出 口 过 
滤器 对 来 自 正在 网 络 间 路 由 的 显然 不 正确 的 分 组 进行 阻 断 。 


6.8 JP 风险 


虽然 IP 被 广泛 使 用 ,但 它 包 含 一 些 基 本 的 缺陷 ,导致 不 安全 风险 。 这 些 风险 包括 地 
址 冲突 、 拦 截 . 回 答 攻击 、 分 组 风暴 及 转换 通道 。 实 施 的 疏忽 会 引起 其 他 风险 ,诸如 分 段 
攻击 。 


1 地 址 冲突 

在 整个 Internet 上 ,两 个 结 点 不 能 共享 相同 的 网 络 地 址 。 假 如 一 个 结 点 被 赋值 一 个 
IP 地 址 ,但 存在 于 错误 的 子 网 ,那么 就 无 法 路 由 。 假 如 在 同一 子 网 上 的 两 结 点 有 相同 的 
网 络 地 址 ,那么 路 由 就 有 两 种 可 能 。 

在 这 种 情况 下 ,机 器 响应 较 快 的 ,会 锁 住 更 慢 的 系统 ,因为 IP 只 跟踪 第 一 个 接收 的 分 
组 。 但 是 假如 采用 网 络 交换 机 ,那么 , 慢 系统 会 锁 住 更 快 的 系统 ,因为 如 前 所 述 ,被 较 慢 的 
主机 发 送 的 分 组 破坏 了 交换 机 的 ARP 表 , 它 将 所 有 通信 重 指向 较 慢 的 结 点 。 

2 IP 拦 截 

IP 拦截 发 生 在 一 个 结 点 假装 为 另 一 个 结 点 的 IP 地 址 ,通常 有 3 种 方法 实施 IP 拦截 ， 
第 1 种 是 攻击 者 用 未 在 用 的 地 址 拦截 ,而 不 会 发 生 冲突 ;第 2 种 是 重新 指向 拦截 ,攻击 者 
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能 重 指 网 络 连接 到 其 他 主机 ;第 3 种 是 随意 拦截 , 沿 着 网 络 通路 的 一 个 结 点 能 拦截 和 响应 
IP 分 组 ,只 要 攻击 者 位 于 源 结 点 和 目的 结 点 之 间 的 通路 上 。 

很 多 系统 根据 IP 地 址 作为 身份 鉴别 的 机 制 ,而 拦截 IP 地 址 的 能 力 限制 了 这 种 访问 
控制 系统 的 有 效 性 。 


3 回答 攻击 
IP 是 一 种 无 状态 的 协议 ,这 意味 着 攻击 者 可 以 在 任何 时 间 记录 和 回答 分 组 。 虽 然 高 
层 协 议 可 以 识别 和 拒绝 IP 内 容 , 但 IP 数据 仍然 是 有 效 的 。 


4 分 组 风暴 

分 组 风暴 是 一 种 常见 的 攻击 ,通信 淹没 了 整个 网 络 。 有 一 类 分 组 风暴 称 为 放大 攻击 ， 
即 一 个 分 组 请 求 能 产生 一 系列 的 回答 , 当 ICMP 请 求 送 给 一 个 广播 地 址 ,就 能 产生 大 量 的 
回答 ,这 就 导致 基于 放大 攻击 的 分 组 风暴 。 

另 一 类 分 组 风暴 发 生 在 网 络 设备 不 正确 处 理 ICMP 差错 。 这 在 RFC 1812 中 有 各 种 
规定 以 防止 这 类 分 组 风暴 。 如 用 户 不 按 该 指南 做 ,就 有 可 能 产生 很 多 ICMP 差错 ,并 淹没 
网 络 。 如 有 两 个 这 样 的 结 点 存在 ,就 会 相互 放大 差错 ,最 后 消耗 掉 所 有 可 用 频 宽 , 将 导致 
摊 垮 的 分 组 风暴 。 


5 分 段 攻 击 

IP 支持 将 大 的 数据 分 段 传 输 和 在 接收 端 重新 组 装 的 能 力 。 这 个 概念 是 很 简单 的 ,但 
是 很 多 实施 易于 出 错 。 两 个 分 段 攻击 的 例子 是 Teardrop 和 Nesta。 这 种 易 攻 击 性 时 常 
发 生 在 新 的 网 络 设备 。 前 者 是 当 诸 如 Linux 或 Windows 操作 系统 重组 分 组 时 复制 所 有 
的 数据 到 新 的 内 存 位置 。 虽 然 它们 做 检查 以 确保 不 复制 太 大 的 分 段 , 但 忽略 了 分 段 重 释 
的 情况 。 后 者 是 利用 在 很 多 网 络 堆栈 中 的 一 些 漏洞 ,主要 是 摧 垮 Linux 系统 和 某 些 路 由 
器 。 目 前 Teardrop 攻击 比 Nesta 攻击 更 普遍 ,而 且 影响 大 多 数 操作 系统 。 

6 转换 通道 

ICMP 是 一 个 控制 协议 。 很 多 防火 墙 和 IDS 系统 在 中 继 通信 前 只 是 对 ICMP 报头 执 
行 一 个 基本 的 检查 ,经 常 并 不 详细 检查 ICMP 分 组 的 内 容 。 这 意味 着 ICMP 能 不 经 检查 
地 通过 某 些 防火 墙 和 IDS 系统 。 这 使 ICMP 成 为 传送 转换 信息 的 理想 工具 。 


6.9 IP 安全 可 选 方案 


IP 是 最 通用 的 网 络 层 协议 ,在 Internet 上 的 任何 系统 必须 支持 IP。 虽 然 IP 有 很 多 
基本 的 缺陷 以 及 实施 时 朴 忽 引起 的 易 攻 击 。 但 缓解 风险 的 方法 还 是 有 的 ,包括 对 不 必要 
的 特点 禁用 ,使 用 非 路 由 的 IP 地 址 ,过 滤 IP 通信 ,以 及 应 用 面向 安全 的 协议 (可 能 的 情 
况 下 ) 。 


691 禁用 ICVP 


虽然 ICMP 提供 测试 、 流 控 和 差错 处 理 ,但 并 不 提供 网 络 路 由 的 基本 功能 。 因 此 ,从 
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安全 方面 以 及 更 有 效 角度 考虑 ,可 以 完全 不 用 ICMP 支持 。 
但 是 大 部 分 操作 系统 并 不 提供 完全 禁用 ICMP 的 方法 ,因此 ,ICMP 需要 在 防火 墙 双 
向 过 滤 。 


692 非 路 由 地 址 


无 须 直 接连 到 Internet 的 主机 可 用 非 路 由 网 络 地 址 。RFC 1597 定义 了 一 系列 不 能 
路 由 的 子 网 。 这 些 子 网 用 于 私 用 网 。 表 6-1 列 出 了 非 路 由 子 网 。 
表 6-1 非 路 由 子 网 


地 址 范围 类 别 
10. 0. 0. 0 一 10. 255. 255. 255 A 类 


172. 16. 0. 0 一 172. 31. 255. 255 16 个 B 类 


192. 168. 0. 0 一 192. 168. 255. 255 256 个 C 类 


采用 非 路 由 网 络 地 址 ,使 攻击 者 不 能 直接 访问 被 保护 的 主机 。 因 为 安全 不 是 基于 防 
火 墙 和 过 滤 ,假如 防火 墙 配 置 错误 或 不 能 用 ,主机 是 从 网 上 隔离 开 , 而 不 是 直接 受 攻 击 。 
Internet 访问 私 用 网 可 以 通过 双 主 代理 或 网 络 地 址 转换 (NAT) 提 供 。 


693 网 络 地 址 转换 NAT 


NAT 是 通过 公共 网 关 将 来 自 隔离 网 的 分 组 中 继 , NAT 网 关 是 桥接 Internet 和 专用 
网 的 双 主 机 系统 。 对 每 个 出 口 分 组 ,NAT 服务 器 在 内 部 中 继 表 存 储 映射 关系 。 中 继 表 
包含 3 个 成 分 : 源 IP 地 址 和 传输 层 端口 ,目的 IP 地 址 和 传输 层 端口 ,NAT 服务 器 外 部 
接口 的 端口 号 。 使 用 NAT 服务 器 外 部 IP 地 址 和 端口 号 将 分 组 中 继 到 外 部 网 络 。 外 部 
目的 主机 视 分 组 来 自 NAT 服务 器 ,而 非 内 部 系统 。 

当 NAT 服务 器 接 到 来 自 外 部 网 络 接口 的 分 组 , 它 将 分 组 目的 地 和 内 部 中 继 表 进行 
比较 。 然 后 将 分 组 转发 到 内 部 源 。 

使 用 NAT 服务 器 ,很 多 专用 主机 通过 相同 的 外 部 IP 地 址 中 继 。NAT 服务 器 提供 
两 个 安全 效果 : 匿名 和 隐私 。 
因为 所 有 通过 NAT 服务 器 中 继 的 分 组 好 像 都 来 自 NAT 服务 器 ,因此 ,内 部 源 是 匿 
名 的 。 攻 击 者 无 法 知道 哪个 系统 是 通过 NAT 服务 器 向 外 连接 的 。 

攻击 者 不 能 连接 到 内 部 主机 。 任 何 到 NAT 服务 器 外 部 接口 ,但 没有 内 部 中 继 表 条 
目的 分 组 都 被 丢弃 ,因为 NAT 服务 器 不 知道 如 何 路 由 该 分 组 。 这 使 NAT 成 为 很 有 效 的 
防火 墙 ,以 阻 断 无 效 的 外 部 通信 。 


694 反 向 NAT 


NAT 最 大 的 缺点 是 不 能 作为 一 个 主机 ,因为 所 有 网 络 通信 必须 从 来 自 专用 网 内 启 
动 ,NAT 服务 器 不 能 在 专用 网 内 部 常 驻 。 因 此 .NAT 不 能 用 于 Web,E-mail 和 其 他 网 络 
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服务 。RNAT 提供 从 NAT 服务 器 的 外 部 端口 到 专用 网 上 的 IP 地 址 和 内 部 端口 的 静态 
映射 。 使 用 RNAT, 外 部 连接 到 NAT 服务 器 的 端口 80CHTTP) 能 路 由 到 专用 网 上 的 
Web 服务 器 。 很 多 家 庭 防火 墙 提 供 NAT 和 RNAT 两 种 服务 。NAT 提供 防火 墙 功能 ， 
而 RNAT 允许 面向 服务 的 应 用 。 


695 IP 过 滤 


大 部 分 非 NAT 防火 墙 支持 基于 IP 分 组 头 的 分 组 过 滤 。 过 滤器 的 规则 能 限制 基于 
特定 主机 、 子 网 或 服务 类 型 (也 就 是 TCP,UDP 或 ICMP) 的 分 组 。 这 种 过 滤 能 应 用 到 源 
或 目的 地 址 以 提供 在 IP 上 的 最 大 控制 。 

如 前 所 述 ,ICMP 应 禁用 ,IP 过 滤 防 火 墙 易于 配置 成 丢弃 所 有 ICMP 分 组 ,有 效 地 过 
滤 了 不 希望 的 通信 。 

第 3 层 的 防火 墙 仅 能 看 到 IP 报头 ,第 4 层 防 火 墙 才能 过 滤 基 于 特定 端口 和 服务 的 分 
组 。 后 者 可 用 于 限制 访问 Web 或 E-mail 服务 器 。Web 请 求 能 到 达 Web 服务 器 ,只 有 
E-mail 能 到 达 E-mail 服务 器 。 


696 出口 过 滤 


大 部 分 防火 墙 配 置 成 限制 从 外 面 进入 的 通信 ,而 对 出 口 通信 无 限制 。 这 种 配置 一 方 
面 提供 了 最 大 的 安全 以 防 外 部 的 攻击 者 , 另 一 方面 对 内 部 用 户 提供 了 最 大 的 方便 。 但 是 
这 种 配置 允许 在 内 部 网 络 的 攻击 者 对 外 部 资源 进行 攻击 。 

出 口 过 滤 将 防火 墙 规 则 应 用 到 出 口 通信 。 最 简单 的 出 口 过 滤 运 行 在 网 络 层 ,以 阻止 
来 自 内 部 网 络 有 假 的 源 地 址 的 分 组 。 更 加 复杂 的 出 口 过 滤 在 高 层 实施 ,如 在 传输 层 限制 
端口 访问 ,在 高 层 限 制 DNS 和 LDAP 访问 VPN 和 SSL 身份 鉴别 ,Web URL 访问 、 
E-mail/SPAM 过 滤 , 病 毒 扫描 等 。 


697 lIPSec 


IP 的 主要 安全 问题 是 身份 鉴别 、 验 证 和 隐私 。IP 没有 身份 鉴别 .没有 验证 ,也 没有 
隐私 。 

IPSec 是 网 络 层 安全 标准 的 集成 。 使 用 IPSec 的 两 台 主机 能 使 用 身份 鉴别 和 加 密 网 
络 协议 进行 通信 。 身 份 鉴 别 可 以 基于 网 络 层 主机 、 子 网 .服务 类 型 、 传 输 层 端口 或 应 用 层 
用 户 实施 。 不 像 IP, 高 层 协议 不 需 提 供 自己 的 加 密 , 也 无 须 修改 就 可 用 IPSec, 这 使 IPSec 
成 为 安全 连接 和 VPN 的 理想 解决 方案 。 


698 IP6 


IPv6 和 IPv4 有 很 大 不 同 , 它 包含 不 同 的 报头 格式 ,有 很 多 重要 的 改进 ,包括 扩大 的 
地 址 空间 ;支持 路 由 组 播 和 广播 分 组 ;在 网 络 层 身份 鉴别 和 加 密 连 接 的 功能 , 且 高 层 协议 
可 在 加 密 通 道上 使 用 而 无 须 修 改 协议 ,支持 封装 以 允许 网 络 隧道 ,加 密 和 身份 鉴别 一 起 ， 
提供 了 完整 的 VPN 解决 方案 。 
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从 安全 方面 看 .IPv6 和 IPSec 本 质 上 是 相同 的 。 两 者 都 提供 强 的 身份 鉴别 .加 密 和 
VPN 支持 。 很 多 IPSec 和 IPv6 的 特点 都 是 基于 相同 的 RFC 规范 。 

从 可 行 性 方面 看 ,从 IPv4 转换 到 IPv6 ,路 由 器 和 网 络 设备 必须 更 新 以 支持 IPv6 协 
议 。 很 多 新 的 系统 可 立即 支持 IPv6 或 有 IPv6 驱动 器 可 用 ,但 是 老 的 路 由 器 需要 更 换 。 
相反 任何 支持 IPv4 的 路 由 器 也 能 支持 IPSec,IPSec 仅 需要 源 和 目的 站 支持 ,而 无 须 中间 
系统 支持 。 


610 ”匿名 


6101 匿名 的 属性 


网 络 层 允 许 位 于 不 同 子 网 的 两 个 结 点 通信 。 在 网 络 之 间 传 送 的 数据 提供 识别 发 送 者 
和 接收 者 的 方法 。 例 如 ,IP 分 组 包含 一 个 源 和 目的 IP 地 址 。 大 部 分 网 络 协议 本 质 上 并 
不 支持 匿名 网 ,但 通过 不 同 的 路 由 和 隐藏 技术 是 可 行 的。 虽然 隐私 和 匿名 有 相似 之 处 ,但 
它们 是 不 同 的 概念 。 网 络 隐私 阻止 观察 者 看 到 网 上 传输 的 信息 ,而 网 络 匿 名 是 阻止 识别 
连接 的 参与 者 。SSH,SSL 和 IPSec 是 网 络 隐 私 的 例子 ,但 它们 并 不 提供 匿名 。 同 样 ,网 
络 匿 名 系统 ,诸如 代理 、 盲 投 并 不 提供 隐私 。 

网 络 匿 名 各 有 3 个 不 同属 性 , 即 源 匿名 \ 目 的 匿名 和 链 路 匿名 。 源 匿名 阻止 观察 者 
识别 数据 传输 的 源 地 址 ,甚至 目的 主机 也 不 能 识别 源 地 址 。 模 糊 源 地 址 的 能 力 对 双向 
通信 和 和 人 允许 伪装 都 有 影响 。 无 连接 的 网 络 服务 是 用 于 源 匿名 的 理想 方法 ,因为 接收 者 
无 须知 道 源 地 址 。 面 向 连接 的 网 络 服务 期 望 双向 通信 ,例如 ,地 址 是 匿名 ,发 送 者 就 无 
法 得 到 期 望 的 回答 。 因 此 ,发 送 者 匿名 要 通过 中 继 系 统 实施 。 伪 装 不 仅 允许 发 送 者 保 
持 匿名 ,而 且 允 许 攻击 者 误导 任何 对 它 的 搜索 。 跟 踪 基 于 假发 送 地 址 较 跟 踪 无 效 地 址 
更 困难 。 

虽然 隐藏 发 送 地 址 仍然 允许 分 组 传递 ,但 是 隐藏 目的 地 址 就 更 困难 了 。 在 网 络 报头 
内 没有 特定 的 目的 地 址 ,分 组 无 法 路 由 和 传递 。 对 隐藏 目的 地 址 有 3 种 方案 : 广播 .拦截 
和 高 层 中 继 。 

即使 发 送 者 和 接收 者 是 未 知 的 ,但 这 种 访问 关系 也 是 可 跟踪 的 。 例 如 ,路 由 器 中 继 
网 络 间 通 信 ,通过 监控 路 由 器 ,攻击 者 能 搜索 到 源 和 目的 子 网 。 虽 然 不 能 知道 发 送 者 
的 主机 ,但 能 跟踪 匿名 分 组 使 用 的 通路 。 通 过 短 时 间 的 处 理 和 经 常 改变 网 络 可 抵御 这 
种 跟踪 。 


6102 网 络 匿名 


有 很 多 方案 可 提供 网 络 匿名 ,最 简单 的 方法 是 移动 地 址 或 盲 投 (blind drops)。 代 理 
和 专门 的 路 由 网 络 可 提供 高 层 中 继 。 
最 简单 的 发 送 者 匿名 是 使 用 移动 寻 址 。 发 送 系 统 在 同一 子 网 上 用 不 同 的 网 络 地 址 临 
时 配置 ,临时 配置 用 于 匿名 连接 , 当 连 接 完 成 后 , 源 网 络 地 址 换 到 一 个 没有 用 过 的 地 址 。 
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只 有 日 志 可 记录 这 新 的 系统 ,而 不 出 现在 子 网 ,有 的 匿名 用 户 还 可 考虑 改变 子 网 。 因 为 
IP 地 址 和 子 网 都 改变 ,要 跟踪 该 系统 很 困难 。 

育 投 是 一 个 源 站 和 目的 站 都 可 访问 的 中 间 系 统 。 当 发 送 数 据 时 ,匿名 发 送 者 将 报 文 
存储 在 盲 投 系 统 ,随后 ,目的 站 连接 到 盲 投 系统 并 检查 报 文 。 这 种 系统 保证 发 送 者 和 接收 
者 都 匿名 。 盲 投 有 两 个 主要 的 缺点 , 即 速度 和 识别 。 除 非 两 者 同步 ,否则 速度 很 慢 。 观 察 
者 能 识别 盲 投 ,除非 用 密码 能 阻止 观察 者 拦截 和 看 到 盲 投 系统 的 内 容 。 

代理 的 作用 是 作为 协议 中 继 、 转 发 发 送 者 到 接收 者 的 报 文 。 发 送 者 能 连接 到 代理 , 仅 
利用 代理 的 网 络 地 址 到 目的 站 。 代 理 使 发 送 者 匿名 。 在 代理 和 目的 站 之 间 的 观察 者 能 看 
到 连接 ,但 不 能 识别 发 送 者 。 相 反 ,位 于 发 送 者 和 代理 之 间 的 观察 者 通常 不 知道 连接 的 目 
的 站 。 除 了 提供 匿名 外 ,代理 通常 可 用 于 一 个 组 织 网 络 的 出 口 过 滤 。 代 理 足 够 快 ,可 提供 
实时 连接 。 但 是 很 多 代理 服务 器 有 连接 日 志 , 可 识别 发 送 者 .接收 者 和 未 加 密 的 内 容 。 在 
内 部 的 观察 者 ,还 是 能 识别 目的 站 及 传输 内 容 。 

代理 只 提供 一 级 迁 回来 分 割 源 和 地 址 ,虽然 代理 服务 器 能 构成 链 ,但 链 是 静态 的 , 且 
大 大 影响 速度 ,每 个 分 组 必须 通过 代理 服务 器 中 继 , 而 不 是 沿 着 最 优 的 路 径 。 更 严重 的 是 
在 任何 代理 上 的 攻击 者 通过 观察 数据 内 容 或 连接 序列 能 识别 源 和 目的 。 路 由 网 络 (诸如 
网 格 (mesh) 、 格 机 (grid)) 和 洋葱 头 (onion) 路 由 是 不 同 于 代理 的 另 一 种 方案 。 前 两 种 路 
由 网 络 包 含 事先 确定 的 型 式 安排 的 中 继 。 格 栅 网 络 将 每 个 结 点 放置 成 格 栅 型 式 。 虽 然 典 
型 的 格 机 网 描述 成 每 个 结 点 包含 4 条 链 路 到 其 他 结 点 ,但 格 栅 网 可 以 是 3 个 自由 度 ( 或 nn 
个 自由 度 ) , 结 点 可 安排 成 各 种 几何 型 式 。 网 格 网 络 可 包含 不 同 数 的 链 路 ,但 每 个 结 点 至 
少 连 接 到 两 个 其 他 结 点 。 这 两 种 网 络 的 基本 概念 是 宛 余 的 ,从 匿名 观点 看 ,它们 运行 在 网 
络 层 ,可 模糊 发 送 者 ,接收 者 和 连接 内 容 , 在 任何 一 个 中 继 的 攻击 者 看 不 到 通信 ,或 仅 能 看 
到 部 分 通信 。 但 这 两 种 网 络 ,都 是 网 络 决定 路 由 ,假如 一 个 结 点 不 可 用 , 则 数据 经 过 别 的 
路 径路 由 。 而 洋葱 头 路 由 由 发 送 者 选择 路 径 , 采 用 数据 编码 和 公 钥 ,第 2 代 洋 葱头 路 由 器 
Tor 就 是 这 种 实例 ,可 提供 源 、 目 的 和 链 路 匿名 。 


6103 网 络 匿 名 的 局 限 性 


大 部 分 匿名 系统 是 基于 网 络 层 保护 身份 的 识别 ,然而 一 些 网 络 层 以 外 的 因素 也 能 导 
致 身份 识别 : 

。 高 层 信息 泄露 : 高 层 含有 的 身份 识别 信息 会 危害 匿名 连接 。 

， 时 序 攻击 : 攻击 者 知道 时 序 后 可 优化 其 攻击 以 跟踪 匿名 连接 。 

。 习惯 和 序列 型 式 : 和 时 序 攻击 类 似 ,习惯 形态 和 序列 访问 能 识别 匿名 用 户 。 

此 外 匿名 还 有 一 些 漏 洞 ,例如 ,使 用 cookies 可 允许 攻击 者 在 线 跟踪 用 户 ;给 匿名 目 
标 发 送 一 个 web bug, 攻 击 者 可 造成 匿名 漏洞 ;攻击 者 发 送 一 个 唯一 的 主机 名 给 匿名 目 
标 , 然 后 观察 DNS, 能 识别 目标 网 络 地 址 ;匿名 下 载 有 可 能 传送 敌意 码 到 匿名 发 送 者 和 接 
收 者 ,进而 造成 特洛伊 木马 攻击 和 回 叫 炸弹 。 
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611 本 章 小 结 


不 同类 型 的 漏洞 攻击 和 威胁 存在 于 Internet 的 不 同 层次 , Internet 安全 体系 结构 就 
是 对 不 同类 型 的 攻击 实施 不 同 层 的 保护 ,本 章 重点 分 析 物 理 层 .数据 链 路 层 和 网 络 层 的 风 
险 以 及 缓解 风险 的 方法 。 

对 LAN 的 物理 网 攻击 包括 连接 破坏 .干扰 和 故意 攻击 。 防 御 的 方法 用 防火 墙 将 网 
段 分 隔 开 来 ,定义 不 同 的 特权 区 以 及 采用 安全 的 动态 LAN 链接 。 

无 线 网 的 风险 包括 分 组 嗅 测 .SSID 信息 ,假冒 .寄生 和 直接 安全 漏洞 。 缓 解 风险 的 方 
法 有 SSID 打 标 签 .广播 SSID 天线 放置 `MAC 过 滤 、WEP 协议 以 及 安全 的 网 络 体系 
结构 。 

数据 链 路 层 的 风险 包括 随意 模式 的 监控 、 负 载 攻 击 、 地 址 攻击 、 帧 外 数据 以 及 转换 通 
道 。 缓 解 风 险 的 方法 有 硬 编码 硬件 地 址 \ 数 据 链 路 层 和 高 层 的 身份 鉴别 机 制 。 

PPP 的 主要 风险 是 身份 鉴别 和 双向 通信 。MAC 的 风险 是 硬件 框架 攻击 ,伪装 攻击 
和 负载 攻击 。ARP 的 主要 风险 是 ARP 表 的 受 损 。 

网 络 层 的 风险 包括 路 由 风险 .地 址 机 制 风 险 、 分 段 风险 和 质量 服务 (QoS) 攻 击 。 缓 解 
风险 的 方法 有 采用 安全 协议 、 网 络 不 兼容 能 力 、 网 络 体系 结构 、 安 全 过 滤 以 及 采用 防火 墙 
和 出 口 过 滤 。 

IP 风险 包括 地 址 冲突 .IP 拦截 .回答 攻击 、 分 组 风暴 、 分 段 攻击 以 及 转换 通道 。IP 安 
全 可 选 方案 有 禁用 ICMP 、 采 用 非 路 由 地 址 、 网 络 地 址 转换 NAT、 反 向 NAT、IP 过 滤 、 出 
口 过 滤 、IPSec 以 及 IPv6。 


习 题 


. 列 出 物理 网 风险 的 4 种 类 型 。 
. 什么 是 身份 鉴别 栈 ? 
. 列 出 对 有 线 物 理 网 攻击 的 5 种 类 型 。 
. 有 哪儿 种 动态 LAN 链接 的 身份 鉴别 方法 ? 
. 列 出 无 线 网 的 各 种 风险 。 
WEP 是 一 种 高 强度 安全 方法 吗 ? 为 什么 ? 
. 什么 是 数据 链 路 的 随意 模式 ? 
. 列 出 各 种 缓解 数据 链 路 层 风险 的 方法 。 
. 试 述 CHAP 的 功能 ,特点 和 局 限 性 。 
10. ARP 为 什么 会 受 损 ? ARP 受 损 后 有 何 影响 ? 如 何 能 缓解 ARP 受 损 ? 
11. 基于 路 由 器 的 攻击 有 哪 几 种 ?路 由 表 淹 没 后 有 哪 几 种 结果 ? 
12. OSI 网 络 层 是 否定 义 地 址 的 身份 鉴别 和 验证 ?基于 数字 和 名 字 的 地 址 机 制 容易 
受到 何 种 地 址 攻击 ? 
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. 什么 是 分 段 机 制 的 主要 危险 ? 假如 分 段 组 装 超时 值 设置 过 低 会 有 什么 后 果 ? 
.网 络 层 提供 哪些 QoS 功能 ? QoS 攻击 有 哪些 ? 
. 网络 层 有 哪些 安全 风险 ? 网 络 层 安 全 风险 缓解 方法 有 哪些 ? 它们 有 哪些 局 


. 什么 是 IP 的 安全 风险 ? 
.比较 各 种 IP 安全 可 选 方案 的 优 缺 点 。IPSec 和 的 IPv6 的 异同 是 什么 ? 
. 网 络 匿 名 的 方案 有 哪些 ”有 何 局 限 性 ? 


第 7 章 
Jntemet 安全 体系 结核 
之 二 


本 章 要 点 : 
。 传输 层 风险 及 缓解 方法 ; 
。 攻击 TCP 和 UDP 的 方法 及 缓解 方法 ; 
。 DNS 风险 及 缓解 方法 ; 
SMTP 邮件 风险 及 缓解 方法 ; 
。 HTTP 风险 及 缓解 方法 。 
不 同类 型 的 漏洞 .攻击 和 威胁 存在 于 Internet 的 不 同 层 次 ,Internet 安全 体系 结构 就 
是 依照 层次 结构 的 原则 ,对 不 同类 型 的 攻击 实施 不 同 层 的 保护 。 本 章 重 点 分 析 传 输 层 和 
应 用 层 的 风险 以 及 缓解 风险 的 方法 。 


7.1 传输 层 核心 功能 


传输 层 定义 网 络 层 和 面向 应 用 层 之 间 的 接口 ,从 应 用 层 抽 象 连 网 功能 ,包括 连接 管 
理 、 分 组 组 装 和 服务 识别 。 为 实现 这 些 功能 ,传输 层 有 两 个 核心 成 分 , 即 传输 层 端口 和 
序列 。 


711 端口 和 套 接 字 


传输 层 使 用 网 络 层 来 建立 结 点 之 间 的 连接 ,网 络 层 路 由 提供 网 络 套 接 字 。 套 接 字 有 
主动 的 和 被 动 的 两 种 。 主 动 套 接 字 指示 建立 网 络 连接 .服务 器 使 用 被 动 套 接 字 ,等 待 和 监 
听 网 络 连 接 。 传 输 层 生成 端口 ,每 个 端口 包含 一 个 唯一 的 、 针 对 特定 高 层 服务 的 标识 。 一 
个 套 接 字 可 管理 很 多 端口 .但 每 个 端口 都 需要 一 个 套 接 字 。 端 口 和 特定 的 高 层 协议 相关 
联 , 或 动态 分 配 。 例 如 , Web(HTTP) 使 用 TCP 协议 的 端口 80 的 服务 。 

大 部 分 远程 网 络 攻击 针对 特定 端口 的 特定 服务 为 目标 。 但 很 多 DoS 攻击 却 针 对 很 
多 端口 或 套 接 字 为 目标 。 因 此 ,传输 层 攻击 可 包括 端口 . 套 接 字 和 专门 的 协议 实施 。 


712 排序 


传输 层 从 高 层 接收 数据 块 , 并 将 其 分 成 分 组 ,每 个 分 组 赋予 一 个 唯一 的 序列 标识 ,用 
来 跟踪 分 组 。 传 输 层 保持 一 些 已 经 用 于 端口 的 序列 号 表 , 以 防止 序列 号 重复 。 
因为 序列 号 用 于 保持 传输 层 的 分 组 传输 有 序 ,这 构成 普遍 的 攻击 因素 ,排序 能 用 于 传 
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输 层 拦截 攻击 。 
713 序列 拦截 


攻击 者 要 观察 传输 层 分 组 必须 识别 序列 ,以 插入 或 拦截 连接 。 假 如 伪造 者 具有 有 效 
的 序列 号 ,就 好 似 经 身份 鉴别 并 被 目标 系统 接受 。 因 此 ,序列 号 的 产生 最 好 不 要 依次 渐 
增 , 和 否则 攻击 者 易于 预测 下 一 个 分 组 的 序列 号 。 

随机 初始 序列 号 通常 用 于 传输 连接 的 开始 ,以 阻止 攻击 者 猜测 第 一 个 分 组 。 但 对 已 
建立 的 传输 连接 ,通常 使 用 分 组 头 指示 当前 的 和 下 一 个 序列 号 。 攻 击 者 观察 这 类 分 组 头 ， 
就 知道 下 一 个 序列 号 可 模仿 。 攻 击 者 可 赋予 下 一 个 伪造 分 组 的 序列 号 ,有 效 地 锁 住 已 建 
立 的 连接 。 假 如 传输 连接 提供 已 建立 的 登录 , 则 攻击 者 可 立即 得 到 访问 这 个 登录 。 

序列 号 通常 起 始 于 随机 值 ,但 整个 会 话 过 程 中 逐一 增加 。 观 察 者 很 容易 识别 序列 型 
式 并 拦截 会 话 ,但 是 盲目 攻击 者 不 能 识别 初始 序列 号 。 这 样 盲 目 攻击 者 无 法 决定 序列 号 
以 及 危害 传输 层 连接 。 

但 是 很 多 传输 层 协议 的 实施 使 用 伪 随 机 数 发 生 器 ,就 成 为 可 预测 的 。 随 机 数 发 生 器 
的 复杂 性 决定 分 组 序列 的 预测 性 ,攻击 者 能 建立 很 多 传输 连接 ,并 决定 初始 序列 号 的 型 
式 。 这 个 弱点 允许 盲目 攻击 者 能 危害 传输 层 连接 。 

有 一 些 解决 传输 层 拦截 的 方法 。 大 部 分 需要 的 安全 服务 是 依靠 高 层 协议 来 做 连接 的 
身份 鉴别 。 例 如 ,SSH 连接 能 通过 TCP 拦截 ,但 拦截 者 不 能 进行 身份 鉴别 或 正确 地 响应 
SSH 分 组 。 这 种 类 型 的 拦截 ,好 像 是 建立 了 SSH 连接 ,突然 又 断 链 。 结 果 是 好 像 阻 止 了 
攻击 ,但 无 法 阻止 进一步 的 DoS 攻击 。 

传输 层 的 核心 功能 还 包括 连接 管理 .分 组 序列 以 及 保持 存活 等 。 


到 加 传输 层 风 险 


传输 层 的 主要 风险 围绕 着 序列 号 和 端口 。 要 拦截 传输 层 连接 ,攻击 者 必须 破坏 分 组 
排序 。 传 输 层 端口 直接 导致 网 络 服务 。 目 标 瞄 准 端口 ,远程 攻击 者 可 针对 一 个 专门 的 高 
层 服务 。 传 输 层 还 能 导致 侦察 攻击 ,包括 端口 扫描 和 信息 泄露 。 


721 传输 层 拦截 


拦截 攻击 能 发 生 在 任何 一 个 网 络 层 次 ,而 传输 层 攻击 需要 两 个 条 件 ,一 个 是 攻击 者 必 
须 对 某 种 类 型 的 网 络 层 破坏 ,一 个 是 攻击 者 必须 识别 传输 序列 。 

从 攻击 者 的 观点 ,分 组 序列 号 可 导致 传输 层 拦截 ,并 有 助 于 重 构 观察 到 的 数据 传输 。 
没有 拦截 和 继续 传输 序列 的 能 力 ,分 组 无 法 得 到 回答 响应 ,新 的 分 组 也 不 能 接受 。 例 如 ， 
TCP 包含 分 组 序列 号 ,下 一 个 序列 号 以 及 对 上 一 个 序列 号 的 回答 响应 ,并 组 合 在 一 个 分 
组 头 内 。 攻 击 者 观察 TCP 分 组 头 能 识别 序列 的 下 一 个 分 组 以 及 任何 需要 回答 响应 的 分 
组 。 一 般 来 说 ,拦截 传输 层 连接 的 能 力 取决 于 序列 号 的 质量 。 

为 了 完成 一 次 拦截 ,攻击 者 必须 伪装 网 络 层 通信 。 伪 装 的 分 组 必须 包含 源 地 址 、 目 的 
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地 址 \ 源 端口 和 目的 端口 。 
如 前 所 述 ,随机 序列 号 能 减少 传输 层 拦截 的 风险 , 像 UDP 这 种 不 用 序列 号 的 协议 ， 
则 更 易 受 攻击 。 


722 一 个 端口 和 多 个 端口 的 比较 


减少 结 点 的 端口 数 , 能 减少 攻击 因素 。 加 固 的 服务 器 将 开放 的 端口 数 减 少 到 只 有 基 
本 服务 。 公 共 的 Web 服务 器 仅 有 HTTP(80/tcp) 打 开 , 远 程控 制 台 只 有 SSH (22/tcp) 
打开 。 

一 般 来 说 ,少量 端口 打开 的 系统 更 安全 。 但 是 某 些 服务 支持 多 路 端口 ,或 基于 服务 的 
需求 打开 新 的 端口 。 例 如 ,代理 只 有 一 个 端口 打开 ,(1080Vtcp 用 于 SOCKS) ,但 一 个 端 
口 可 连接 很 多 其 他 系统 以 及 很 多 其 他 端口 。 又 如 SSH 支持 端口 转发 ,虽然 SSH 仅 使 用 
一 个 端口 ,但 远程 客户 可 从 很 多 端口 将 通信 转发 到 SSH 安全 隧道 。 即 使 SSH 隧道 是 安 
全 的 ,但 隧道 的 端点 可 能 是 不 安全 的 。 


723 静态 端口 赋值 和 动态 端口 赋值 


远程 客户 连接 到 服务 器 需要 两 个 条 件 ,其 一 ,需要 服务 器 的 网 络 地 址 ;其 二 ,需要 知道 
传输 协议 及 端口 。 

客户 启动 服务 器 连接 时 ,通常 连接 到 服务 器 的 众所周知 的 端口 。 但 有 时 客户 使 用 短 
暂 的 端口 , 它 选 自动 态 端口 的 范围 内 。 为 了 使 服务 器 回答 客户 ,客户 的 分 组 包括 网 络 地 址 
和 端口 号 。 

防火 墙 使 用 端口 信息 提供 网 络 访问 。 例 如 ,在 E-mail 服务 器 前 面 的 防火 墙 允许 外 部 
请 求 路 由 到 特定 的 内 部 主机 的 25/tcp。 而 具有 出 口 过 滤 的 防火 墙 以 及 NAT 支持 的 路 由 
器 动态 跟踪 分 组 会 话 。 在 一 个 端口 上 的 远程 主机 能 和 在 另 一 端口 上 的 本 地 主机 对 话 。 

某 些 高 层 协议 不 使 用 固定 端口 号 ,例如 RPC,FTP 的 数据 连接 以 及 Net meeting。 不 
用 单个 端口 于 全 部 通信 ,控制 服务 使 用 众所周知 端口 ,数据 传输 则 用 动态 端口 ,启动 连接 
到 控制 服务 产生 一 个 报 文 以 标识 动态 端口 号 。 

动态 端口 会 引起 不 安全 的 风险 ,因为 大 范围 的 端口 必须 都 可 访问 网 络 。 例 如 FTP 生 
成 第 2 个 端口 以 传输 数据 ,动态 端口 可 选用 任何 未 使 用 的 端口 号 ,如 果 防 火 墙 不 打开 所 有 
端口 ,FTP 数据 连接 就 会 被 阻 断 。 有 一 些 FTP 通过 防火 墙 的 可 行 方案 ,但 都 有 隐患 或 
局 限 。 


724 端口 扫描 


为 了 攻击 一 个 服务 ,必须 识别 服务 端口 。 端 口 扫 描 的 任务 是 企图 连接 到 主机 的 每 一 
个 端口 。 假 如 端口 有 回答 , 则 活动 服务 正在 监听 端口 。 假 如 服务 是 在 众所周知 的 端口 , 则 
增加 了 服务 识别 的 可 能 性 。 扫 描 方法 一 般 有 两 种 ,一 种 是 目标 端口 扫描 ,用 以 测试 特定 的 
端口 ,一 种 是 端口 扫除 (sweep) ,用 以 测试 主机 上 所 有 可 能 的 端口 。 有 很 多 种 方法 可 防御 
端口 扫描 ,包括 非 标准 端口 ,无 回答 防御 ,总 是 回答 防御 .殴打 协议 (knock-knock 
protocol) ,主动 扫描 检测 以 及 故意 延迟 等 。 
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很 多 服务 运行 在 众所周知 的 端口 ,易于 被 攻击 者 识别 服务 的 类 型 。 如 将 众所周知 的 
端口 移 到 非 标准 端口 以 模糊 服务 类 型 ,就 可 防止 攻击 。 但 要 注意 那些 端口 是 未 分 配给 其 
他 服务 。 
因为 端口 扫描 等 待 分 组 回答 , 某 些 系统 变化 回答 。 例 如 BSD 系统 对 不 活动 端口 的 分 
组 请 求 不 予 回答 。 这 样 使 扫描 系统 等 待 回 答 直至 超时 。 

BSD 系统 不 回答 不 活动 端口 ,但 对 活动 端口 易 被 攻击 识别 。 改 变 的 方案 是 总 是 回 
答 ,攻击 者 就 无 法 区 别 是 活动 端口 还 是 不 活动 端口 。 

敲打 服务 器 不 保持 端口 打开 ,而 是 监控 其 他 端口 或 网 络 协议 , 当 观 察 到 期 望 的 分 组 序 
列 , 服 务 才 启 动 。 例 如 SSH 服务 器 先 不 和 端口 绑 定 ,直到 主机 看 到 具有 700 字 节 不 规划 
数据 字 长 的 ICMP 分 组 才 和 端口 绑 定 。 攻 击 者 扫描 SSH 服务 不 产生 需要 的 ICMP 分 组 ， 
也 就 看 不 到 运行 在 服务 器 的 SSH。 

虽然 采用 技术 上 模糊 安全 的 方法 ,能 有 效 地 延缓 攻击 者 ,但 主动 的 安全 方案 是 可 行 
的 ,IDS 能 观察 扫描 主机 的 一 系列 连接 并 阻 断 访问 。 此 外 还 有 一 些 故意 设法 延迟 攻击 或 
延迟 建立 攻击 连接 的 方法 ,也 能 阻止 攻击 。 


725 信息 泄露 


一 般 传输 层 对 传输 的 数据 不 进行 加 密 ,因此 传输 层 协议 本 身 并 不 对 信息 保护 。 在 网 
上 监控 分 组 通信 的 观察 者 能 观察 到 传输 层 协议 的 内 容 , 通 常 是 在 传输 层 上 面 的 高 层 提 供 
身份 鉴别 和 加 密 。 


7 TCP 侦察 


绑 定 到 TCP 端口 的 网 络 服 务 提供 对 主机 系统 的 直接 访问 。 假 如 服务 提供 对 硬 驱 动 
的 访问 ,那么 任何 远程 用 户 就 有 可 能 访问 硬 驱动 。 通 过 识别 系统 的 类 型 和 服务 的 类 型 , 攻 
击 者 能 选择 相应 的 攻击 指向 。 


731 操作 系统 框架 


大 部 分 TCP 的 实施 允许 参数 定制 以 优化 连接 。 系 统 可 以 规定 更 大 的 窗口 大 小 ,定义 
更 多 的 重 试 ,或 者 包括 像 时 间 戳 这 些 专门 的 TCP 选项 。 这 些 值 的 默认 选择 是 由 操作 系统 
定 的 。 它 能 识别 专门 的 操作 系统 版 本 和 补丁 的 级 别 。 

1 初始 窗口 大 小 

不 同 操作 系统 使 用 不 同 初始 窗口 大 小 。 虽 然 初 始 窗口 值 可 修改 ,但 大 部 分 系统 还 是 
使 用 默认 值 。 利 用 这 些 信 息 可 识别 传输 数据 的 操作 系统 的 类 型 。 当 TCP 会 话 继续 时 , 窗 
口 大 小 会 增加 ,而 总 的 增加 值 多 少 也 是 由 操作 系统 确定 的 。 利 用 这 信息 ,同样 也 能 估算 出 
介入 的 操作 系统 类 型 。 

2 TCP 选 项 

每 个 TCP 分 组 包含 TCP 报头 值 的 一 些 选项 ,不 同 的 操作 系统 支持 不 同 的 选项 、 值 和 
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次 序 。 通 过 观察 这 些 选项 ,可 识别 特定 的 操作 系统 。 某 种 情况 下 ,TCP 选项 能 唯一 足够 
识别 操作 系统 和 补丁 级 别 。 知 道 系 统 补丁 的 级 别 对 攻击 者 有 很 大 帮助 ,因为 可 识别 未 打 
系统 补丁 的 漏洞 。 


3 序列 号 

虽然 所 有 实施 TCP 系统 用 同样 的 方法 增加 序列 号 ,但 是 初始 序列 号 是 各 个 操作 系统 
特定 的 。 初 始 SYN 和 SYN-ACK 分 组 交换 用 于 连接 的 起 始 序列 号 。 虽 然 单个 TCP 连接 
不 能 泄露 可 识别 信息 ,但 是 一 系列 的 快速 连接 能 泄露 用 来 建立 初始 连接 的 型 式 。 序 列 号 
能 用 来 识别 操作 系统 .版 本 ,以 及 补丁 版 本 的 信息 。 


4 客户 端口 号 

虽然 服务 器 绑 定 到 固定 的 TCP 端口 号 ,但 客户 可 选择 任何 可 用 的 端口 号 用 于 连接 。 
服务 器 可 从 TCP 报头 决定 客户 动态 端口 号 。 从 客户 到 一 个 或 多 个 服务 器 重复 的 连接 将 
显示 对 每 个 连接 的 不 同 端口 号 。 不 同 的 操作 系统 使 用 不 同 的 动态 端口 号 范围 , 供 客户 选 
择 。 观 察 动态 端口 号 的 范围 ,可 以 帮助 识别 操作 系统 。 


5 重 试 

当 TCP 分 组 没有 收 到 回答 响应 ,分 组 重新 发 送 。 重 试 的 次 数 以 及 间隔 是 不 同 操作 系 
统 特定 的 。 可 以 通过 SYN 重 试 .SYN-ACK 重 试 以 及 ACK 重 试 3 种 不 同方 法 来 确定 。 

有 一 些 用 于 框架 系统 的 通用 工具 。 例 如 Snacktime 工具 是 基于 TCP 窗口 大 小 、 选 
项 ,以 及 重 试 间隔 来 推算 系统 的 。 又 如 Pof 和 Nmap 工具 ,通过 询问 两 个 端口 来 检测 服务 
器 TCP 配置 的 细微 变化 。 

操作 系统 框架 对 诊断 技术 是 有 用 的 ,但 对 攻击 者 在 攻击 以 前 的 侦察 也 是 有 用 的 。 攻 
击 者 使 用 网 络 框架 来 识别 执行 的 操作 系统 以 及 补丁 级 别 。 改 变 一 些 诸 如 窗口 大 小 、 重 试 
超时 等 默认 值 ,可 以 阻止 攻击 者 对 系统 的 识别 。 因 为 改变 系统 的 默认 TCP 设置 不 是 普遍 
的 ,使 攻击 者 从 侦察 得 来 的 错误 信息 信以为真 。 


732 端口 扫描 


TCP 端口 扫描 用 来 识别 运行 的 服务 。 端 口 扫描 企图 连接 到 端口 并 记录 结果 。 对 任 
何 连 接 的 企图 ,一 般 有 4 种 回答 的 类 型 : 

。 SYN-ACK: 假如 一 个 服务 在 端口 运行 ,那么 SYN-ACK 返回 给 客户 ,这 是 正 的 识 
别 。 为 了 阻止 检测 ,一 些 防 火 墙 总 是 返回 一 个 SYN-ACK ,即使 没有 服务 也 是 可 
行 的 。 这 个 对 策 的 结果 是 使 扫描 器 不 能 识别 打开 的 端口 。 

"RST: 假如 没有 服务 在 运行 ,很 多 系统 返回 一 个 RST 分 组 。 这 提供 一 个 快速 确 
认 : 在 端口 上 没有 服务 。 

，ICMP 不 可 达 : 假如 主机 是 不 可 达 , 那 么 ICMP 分 组 返回 以 指示 失败 。 这 使 端口 
状态 未 知 ,因为 测试 不 可 达 。 有 些 防火 墙 采 用 这 种 方法 以 迷惑 扫描 器 。 

。 什么 也 没有 : 假如 分 组 没有 到 主机 ,根本 就 没有 回答 ,SYN 请 求 得 不 到 SYN- 
ACK 并 超时 ,虽然 这 通常 意味 着 主机 不 可 达 或 不 在 线 , 但 一 些 防 火 墙 有 意 忽 略 发 
送 的 分 组 并 关 掉 端口 。 
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733 日志 


为 了 检测 系统 扫描 和 网 络 攻击 ,日志 是 重要 的 。 很 多 网 络 服务 有 连接 日 志 ,包括 时 间 
戳 、 客 户 网 络 地址 以 及 相关 的 连接 信息 。 少 数 系统 支持 未 加 工 的 TCP 通信 ,由 高 层 执行 
日 志 。 在 握手 完成 以 前 ,高 层 并 不 支持 TCP 连接 ,结果 使 部 分 端口 扫描 (在 握手 未 完成 以 
前 ) 常 常 是 没有 日 志 的 。 

网 络 监控 工具 ,诸如 IDS 和 IPS, 一 般 监控 和 日 志 SYN 请 求 以 及 任何 不 包括 部 分 建 
立 连接 的 通信 。SYN 分 组 被 记录 ,未 请 求 的 ACK 和 RST 分 组 也 被 日 志 。 基 于 这 些 分 组 
的 频 度 、 类 型 和 次 序 ,一些 工具 能 识别 网 络 扫描 。 如 果 是 IPS, 在 扫描 完成 以 前 就 能 做 出 
反应 ,以 阻止 更 多 信息 泄露 以 及 限制 服务 检测 。 假 如 任何 攻击 者 不 能 识别 系统 的 类 型 , 那 
么 破坏 系统 的 能 力 大 大 减弱 。 


万 :六 TCP 拦截 


任何 干扰 TCP 连接 的 攻击 都 归结 为 TCP 拦截 ,这 些 攻 击 常 常 像 DoS 一 样 出 现 ,使 
连接 过 早 地 结束 。 全 会 话 拦截 虽然 很 少 ,发 生 在 当 一 个 攻击 者 不 仅 结束 一 个 TCP 连接 ， 
而 是 继续 把 其 他 连接 断 掉 。TCP 客户 接 到 一 个 连接 结束 或 TCP 超时 ,同时 服务 器 没有 
注意 到 攻击 者 已 经 替换 了 没有 登记 注册 的 客户 。 


1. 全 会 话 拦截 

全 会 话 拦截 常常 需要 攻击 者 具有 直接 的 数据 链 路 访问 。 和 运行 在 随意 模式 ,攻击 者 观 
察 网 络 地 址 .端口 以 及 用 于 连接 的 序列 号 。 利 用 这 些 信息 ,攻击 者 试图 比 一 个 TCP 连接 
结束 更 快 的 响应 。 有 时 只 差 微 秒 时 间 就 能 决定 是 成 功 还 是 失败 。 成 功 的 拦截 提供 具有 连 
接 会 话 的 攻击 者 到 网 络 服务 ,而 失败 的 拦截 结果 造成 DoS 或 只 是 简单 的 忽略 。 

2 IQVP 和 TCP 拦截 

ICMP 用 来 在 IP 和 TCP 之 间 通 信 。ICMP 能 用 来 报告 不 成 功 的 连接 或 重新 指向 网 
络 服务 。 遇 到 恶意 使 用 时 ,ICMP 能 将 TCP 连接 重新 指向 不 同 的 端口 和 不 同 的 主机 。 虽 
然 攻击 者 仍 必须 知道 TCP 的 序列 号 ,但 是 ICMP 不 需要 使 用 DoS 来 结束 任何 一 个 原始 
连接 。 


7 TCP DoS 


DoS 攻击 有 两 个 目的 ,其 一 是 能 使 受害 者 不 能 执行 任务 ,其 二 是 更 秘密 的 攻击 ,因为 
DoS 攻击 是 十 分 引 人 注 意 的 ,会 很 快 被 管理 注意 ,为 此 攻击 者 在 对 一 个 系统 执行 DoS 的 同 
时 , 狭 独 地 又 对 另 一 个 不 同系 统 攻击 ,使 管理 者 在 集中 第 1 个 DoS 时 ,没有 注意 第 2 个 攻击 。 
TCP 是 十 分 易于 受 DoS 攻击 的 。 任 何 对 端口 号 或 序列 的 干扰 结果 都 会 使 连接 断 开 。 
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虽然 拦截 能 造成 DoS, 但 它 不 是 唯一 的 攻击 类 型 。TCP DoS 攻击 可 来 自 SYN,RST 或 
ICMP 分 组 ,攻击 者 无 须 直接 网 络 访问 (随意 模式 ) 来 执行 攻击 。 


1 SYN 攻 击 

每 个 TCP 实施 分 配 用 于 管理 连接 的 内 存 。 每 个 连接 包括 网 络 地 址 、 端 口 .窗口 大 小 
信息 .序列 号 以 及 用 于 入 出 分 组 的 缓存 空间 。 当 每 个 服务 器 收 到 SYN 就 分 配 内 存 。 
SYN 攻击 发 送 大 量 的 SYN 分 组 来 消耗 可 用 的 内 存 。 假 如 TCP 实施 只 能 管理 250 个 并 
发 连接 ,那么 超过 这 个 数 的 连接 被 切断 。 

每 次 SYN 分 组 放 到 一 个 打开 的 服务 ,就 产生 一 个 SYN-ACK 响应 ,假如 握手 还 未 完 
成 ,那么 连接 超时 。 结 果 就 造成 有 效 的 DoS, 攻 击 者 发 送 大 量 的 SYN 请 求 ,服务 器 被 切 
断 , 直 至 连接 超时 。 

有 一 些 缓解 SYN 攻击 风险 的 方法 ,包括 增加 SYN 队列 ,以 增加 允许 的 连接 数 ,减少 
SYN 超时 ,以 降低 SYN 攻击 的 影响 以 及 当 攻 击 停止 时 ,可 快速 恢复 ;用 SYN Cookies 以 
防止 因 SYN 攻击 而 消耗 内 存 。 


2 RST 和 FN 攻击 

RST 攻击 是 发 送 RST( 或 FIN) 分 组 ,反常 地 结束 已 建立 的 连接 。 假 如 攻击 者 能 看 到 
网 络 通信 ,那么 ,就 能 插入 一 个 RST 分 组 ,并 断 开 被 害 者 已 建立 的 连接 。 

盲目 的 TCP 重 置 攻击 发 生 在 当 攻 击 者 不 能 拦截 或 看 到 网 络 连接 。 伪 造 的 RST 分 组 
用 各 种 不 同 的 序列 和 端口 值 发 送 。 只 要 其 中 一 个 是 有 效 的 ,就 能 断 开 连 接 。 

序列 号 包含 4 个 字 节 ,因此 有 4294967296 可 能 的 序列 号 。 事 实 上 ,攻击 者 无 须发 送 40 
亿 个 分 组 ,因为 回答 响应 窗口 有 限 ,就 降低 了 需要 的 分 组 数 。 例 如 Windows XP 使 用 初始 窗 
口 大 小 为 64240 字 节 , 则 只 需要 发 送 66 858 个 分 组 。 在 IP 和 以 太 网 上 的 TCP 产生 最 小 分 
组 大 小 为 72 字 节 ,假如 10Mbps 的 速率 ,发 送 66858 分 组 大 约 只 需 5 秒 钟 。 


3 ICMP 攻 击 

类 似 于 TCP 重 置 攻击 ,ICMP 可 用 来 指定 一 个 断 开 连接 。 盲 目 ICMP 攻击 也 能 使 
TCP 不 能 连接 。 不 像 TCP 重 置 攻击 ,防火 墙 能 阻 断 ICMP 攻击 ,而 TCP 重 置 攻击 则 因 
为 有 效 的 端口 和 地 址 组 合 , 能 通过 防火 墙 。 


4 LAND 攻 击 

LAND 攻击 形成 反馈 环 路 影响 大 部 分 LAN 守护 进程 ,这 种 攻击 是 发 送 一 个 SYN 分 
组 到 已 知 端口 的 开放 服务 ,而 回答 地 址 和 端口 伪装 成 指 回 同一 个 系统 ,形成 一 个 反馈 环 
路 ,使 系统 很 快 挫 垮 。 如 今 的 操作 系统 对 LAND 攻击 已 能 抵制 。 


36 缓解 对 TCP 攻击 的 方法 


虽然 TCP 差不多 是 全 世界 通用 的 ,但 很 少 广 家 使 用 相同 的 实施 ,甚至 不 同 的 版 本 和 
补丁 能 导致 实施 的 差异 。 异 构 网 看 来 不 会 被 单一 的 攻击 影响 ,网 上 每 个 服务 器 都 有 各 自 
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的 对 付 办 法 。 主 要 实施 风险 来 自 单一 的 实施 以 及 和 低层 协议 的 相互 作用 。 缓 解 的 方法 转 
绕 着 替换 系统 框架 以 及 检测 攻击 。 


1 改变 系统 框架 

TCP 和 网 络 服务 攻击 有 两 类 , 即 盲目 攻击 和 定向 攻击 。 前 者 没有 假定 的 攻击 目标 ， 
通过 试探 发 现 漏洞 ,大 部 分 计算 机 病毒 使 用 这 种 方法 。 

定向 攻击 针对 特定 操作 系统 平台 和 网 络 服务 。 首 先 通 过 侦察 识别 可 能 的 目标 ,然后 
攻击 可 行 的 目标 。 通 过 改变 系统 框架 就 可 缓解 攻击 者 的 识别 。 不 同 的 框架 包括 SYN 超 
时 、 重 试 计数 、 重 试 间隔 ,初始 窗口 大 小 、 可 用 的 TCP 选项 以 及 初始 序列 值 。 

很 多 TCP 端口 是 标准 化 的 ,特定 端口 用 于 特定 服务 。 例 如 端口 22/tcp 用 于 SSH , 端 
口 80/tcp 用 于 HTTP。 虽 然 这些 端 口号 是 标准 的 ,但 不 是 必需 的 。 可 以 改变 端口 号 以 减 
少 攻击 的 可 能 性 。 


2 阻 断 攻 击 指向 

防火 墙 用 来 限制 网 络 访问 ,假如 家 庭 网 或 小 的 办 公 室 网 不 提供 任何 对 外 网 络 服务 , 那 
么 防火 墙 可 阻 断 任何 外 部 的 SYN 分 组 。 假 如 DMZ 仅 支 持 Web 服务 器 ,那么 只 有 Web 
端口 允许 通过 防火 墙 。 

此 外 阻 断 ICMP 通信 能 消除 来 自 远程 ICMP 淹没 ,拦截 和 重 置 攻击 的 风险 。 

3 识别 网 络 设备 

识别 网 络 设备 和 已 知已 受 攻击 的 漏洞 ,可 设法 预先 防止 。 对 一 些 简 单 的 设备 和 家 庭 
防火 墙 ,PDAs 以 及 具有 网 络 支 持 的 可 移动 设备 ,无 须 所 有 TCP 实施 以 减少 攻击 风险 。 


4 状态 分 组 检验 

很 多 防火 墙 支持 状态 分 组 检验 (SPI) 。SPI 跟踪 TCP 连接 状态 以 及 拒绝 和 已 知 状态 
不 匹配 的 分 组 。 例 如 ,一 个 RST 送 到 关闭 的 端口 ,可 把 它 丢 掉 , 而 不 是 传递 给 主机 。SPI 
能 减少 拦截 攻击 、 重 置 攻击 、 远 程 系统 框架 等 的 影响 。 


5 入 侵 检 测 系统 (IDS) 

IDS 对 非 标 准 的 或 非 期 望 的 分 组 的 网 络 进行 监控 。IDS 能 很 快 地 识别 远程 系统 框 
架 、TCP 端口 扫描 拦截 企图 以 及 DoS 攻击 。 

虽然 IDS 能 检测 攻击 ,但 这 些 系统 也 发 送 大 量 虚假 的 结果 ,以 致 淹没 管理 者 。 此 外 
如 果 管 理 者 只 是 依赖 IDS 报告 可 能 会 遗漏 网 络 攻击 ,有 时 攻击 者 会 故意 使 管理 者 转移 视 
线 ,以 致 漏 掉 真正 的 攻击 。 


6 入 侵 防 御 系统 (IPS) 

IPS 扩展 了 IDS 功能 ,从 仅仅 是 日 志 记录 到 采取 行动 。IPS 能 使 攻击 指向 不 成 功 , 而 
采取 正确 的 行动 。 假 如 IDS 识别 一 个 端口 扫描 , 它 会 立刻 阻 断 其 余 的 扫描 以 限制 扫描 的 
有 效 性 。 
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7 了 高 层 协议 

TCP 不 提供 对 来 自 低层 协议 的 信息 。ARP 以 及 基于 网 络 攻击 能 大 大 影响 TCP。 虽 
然 序列 号 和 短暂 的 端口 选择 能 减少 回答 攻击 的 影响 ,但 在 插入 以 前 ,TCP 报头 能 被 修改 。 
一 般 来 说 ,假定 高 层 协议 将 鉴别 通信 以 及 检测 可 能 的 攻击 。 


7 UDP 


UDP 是 一 个 简单 的 传输 层 协议 ,用 于 无 连接 服务 。 因 为 很 多 TCP 功能 并 非 是 必需 
的 ,UDP 分 组 有 一 个 简单 的 报头 , 仅 包括 源 端口 .目的 端口 .数据 长 度 和 检查 和 ,总 共 8 个 
字 节 。 此 外 UDP 传输 不 产生 回答 的 响应 。 

虽然 比 起 TCP 来 ,UDP 只 需 很 少 的 网 络 带 宽 , 但 它 更 易 受 攻击 ,UDP 攻击 常常 基于 
无 效 的 分 组 以 及 伪装 。 


1 非法 的 进入 源 

UDP 服务 器 不 执行 初始 握手 ,任何 主机 能 连接 到 UDP 服务 器 ,而 且 连 接 是 无 须 进 行 
身份 鉴别 的 。 

任何 类 型 的 UDP 分 组 都 能 淹没 一 个 服务 器 。 服 务 器 缓冲 有 限 数 的 UDP 分 组 。 假 
如 接收 到 更 多 分 组 ,那么 它 将 被 丢弃 直到 空 出 缓冲 器 空间 。UDP 分 组 能 很 快 淹没 慢 的 
UDP 服务 。 


2 UDP 拦截 

UDP 服务 器 可 从 任何 主机 接收 分 组 ,而 无 须 进行 身份 鉴别 。 这 样 任何 客户 能 发 送 任 
何 分 组 到 任何 UDP 服务 器 。 管 理 任何 会 话 或 连接 必须 由 高 层 协议 处 理 。 这 意味 着 UDP 
是 十 分 易于 拦截 的 ,攻击 者 能 很 容易 伪装 成 正确 的 网 络 地 址 和 UDP 端口 ,将 数据 插入 到 
接收 者 。 盲 目的 UDP 攻击 只 需 猜测 端口 号 ,不 超过 65 536 ,只 需 几 秒 钟 。 


3 UDP 保持 存活 攻击 

UDP 没有 很 清楚 地 指示 连接 是 打开 还 是 关闭 ,结果 大 多 数 防火 墙 当 看 到 第 一 个 出 口 
连接 时 ,打开 端口 ,在 不 活动 一 段 时 间 后 才 关 闭 端口 。 攻 击 者 能 利用 这 个 弱点 来 保持 
UDP 端口 打开 。 即 使 客户 不 在 监听 分 组 时 ,攻击 者 能 发 送 UDP 分 组 到 防火 墙 , 以 保持 防 
火 墙 端口 打开 。 假 如 有 足够 多 的 端口 保持 打开 ,那么 没有 新 的 端口 能 打开 。 这 使 UDP 
不 能 有 效 地 通过 防火 墙 。 

4 UDP Smurf 攻击 

前 面 讲 到 ICMP Smurf 攻击 ,UDP 也 易 受 到 这 种 攻击 , 假 的 分 组 送 到 UDP 服务 器 。 
攻击 者 伪造 被 害 者 的 网 络 地 址 作为 分 组 发 送 者 ,服务 器 响应 发 送 一 个 或 更 多 UDP 分 组 
给 被 害 者 。 虽 然 少 数 UDP 分 组 不 会 严重 影响 分 组 ,但 每 秒 几 千 个 分 组 能 摧 垮 一 个 网 络 。 


5 UDP 侦察 
UDP 对 系统 框架 和 侦察 只 提供 少量 选项 。UDP 端口 扫描 依靠 ICMP 和 分 组 回答 。 
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假如 没有 UDP 服务 存在 于 扫描 端口 .那么 ICMP 的 “目的 不 可 达 ” 分 组 被 返回 。 但 有 些 
UDP 服务 对 没有 连接 返回 一 个 回答 。 任 何 UDP 回答 指示 一 个 存在 的 服务 。 无 回答 指示 
一 个 服务 接收 到 分 组 而 没有 回答 。 要 击败 这 类 端口 扫描 的 唯一 方法 是 不 返回 任何 ICMP 
分 组 。 这 使 无 回答 难以 区 分 有 没有 服务 。 


7.8 安全套 接 字 层 SSL 


由 于 TCP/IP 协议 本 身 非常 简单 .没有 加 密 、 身 份 鉴 别 等 安全 特性 ,因此 要 向 上 层 应 
用 提供 安全 通信 的 机 制 就 必须 在 TCP 之 上 建立 一 个 安全 通信 和 层次。 传输 层 网 关 在 两 个 
通信 结 点 之 间 代 为 传递 TCP 连接 并 进行 控制 ,这 个 层次 一 般 称 为 传输 层 安 全 。 最 常见 的 
传输 层 安全 技术 有 SSL,SOCKS 和 安全 RPC 等 。 

在 Internet 应 用 编程 中 ,通常 使 用 广义 的 进程 间 通 信 (IPC) 机 制 来 与 不 同 层次 的 安 
全 协议 打交道 。 比 较 流行 的 两 个 IPC 编程 界面 BSD Sockets 和 传输 层 界面 (TLD) ,在 
UNIX 系统 V 里 可 以 找到 。 

在 Internet 中 提供 安全 服务 的 首先 一 个 想法 便 是 在 它 的 IPC 界面 加 入 安全 支持 ,如 
BSD Sockets 接口 等 ,具体 做 法 包括 双向 实体 的 鉴别 ,数据 加 密 密 钥 的 交换 等 。Netscape 
通信 公司 遵循 了 这 个 思路 ,制定 了 建立 在 可 靠 的 传输 服务 (如 TCP/IP 所 提供 ) 基 础 上 的 
安全 套 接 层 协议 (SSL)。SSL 版 本 3(SSLv3) 于 1995 年 12 月 制定 。SSL 分 为 两 层 ,上 面 
是 SSL 协商 层 , 双 方 通过 协商 约定 有 关 加 密 的 算法 、 进 行 身份 鉴别 等 ;下 面 是 SSL 记录 
层 , 它 把 上 层 的 数据 经 分 段 .压缩 后 加 密 , 由 传输 层 传送 出 去 。SSL 采用 公 钥 方式 进行 身 
份 鉴别 ,但 是 大 量 数据 传输 仍 使 用 对 称 密 钥 方式 。 通 过 双方 协商 ,SSL 可 以 支持 多 种 身 
份 鉴别 .加 密 和 检验 算法 。 两 个 层次 对 应 以 下 两 个 协议 

(1) SSL 记录 层 协议 。 它 涉及 应 用 程序 提供 的 分 段 . 压 缩 , 数 据 鉴别 和 加 密 。SSLv3 
提供 对 数据 鉴别 用 的 MD5 和 SHA 以 及 数据 加 密 用 的 R4 和 DES 等 的 支持 ,对 数据 进行 
鉴别 和 加 密 的 密 钥 可 以 通过 SSL 的 握手 协议 来 协商 。 


(2) SSL 协商 协议 。 用 来 交换 版 本 号 ` 加 密 算法 (相互 ) 身 同居 二 

份 鉴别 并 交换 密 钥 。SSLv3 提供 对 Deffie-Hellman 密 钥 交 换 SSL 协商 层 

算法 、 基 于 RSA 的 密 钥 交换 机 制 和 另 一 种 实现 在 Frotezza chip SSL 记 录 层 

上 的 密 钥 交换 机 制 的 支持 。 | | 
SSL 的 结构 如 图 7-1 所 示 。 低层 协议 


使 用 SSL 协议 通信 的 双方 通过 协商 层 来 约定 协议 版 本 ,加 图 71 ssL 结构 图 

密 算法 ,进行 身份 验证 ,生成 共享 密 钥 等 。SSL 协商 层 的 工作 

过 程 如 图 7-2 所 示 。 当 客户 方 与 服务 方 进行 通信 之 前 ,客户 方 发 出 问候 ;服务 方 收 到 问候 
后 ,发 回 一 个 问候 。 问候 交换 完毕 后 ,就 确定 了 双方 采用 的 SSL 协议 的 版 本 号 ,会 话 标 
志 、 加 密 算法 集 和 压缩 算法 。 服 务 方 在 问候 之 后 ,还 可 以 发 出 一 个 X. 509 格式 的 证 书 
(certificate) ,向 客户 方 验证 身份 。 随 后 服务 方 发 出 问候 结束 .表明 问候 阶段 的 结束 ,等 竺 
客户 方 回答 。 客 户 方 此 时 也 可 以 发 回 自己 的 X. 509 格式 的 证 书 , 向 服务 方 认证 自己 的 身 
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份 。 然 后 客户 方 随即 产生 一 个 对 称 密 钥 ,用 服务 方 公 钥 进行 加 密 ,客户 方 据 此 生成 密 钥 交 
换 信息 传送 给 服务 方 。 如 果 采 用 了 双向 的 身份 认证 ,客户 方 还 需要 对 密 钥 交 换 信 息 进 行 
签名 ,并 发 送 证 书 检验 (certificate verify) 报 文 。 服 务 方 获得 密 钥 交换 信息 和 证 书 检验 信 
息 后 就 可 以 获得 客户 方 生成 的 密 钥 。 至 此 ,有 关 加 密 的 约定 和 密 钥 都 已 建立 ,双方 可 以 使 
用 刚刚 协商 的 加 密约 定 交 换 应 用 数据 了 。 


客户 方 服务 方 
客户 问候 消息 
服务 问候 消息 
一 Certificate* 
密 钥 交换 消息 * 
客户 身份 证 书 请 求 消息 
问候 结束 消息 
客户 Certificate 一 一 
密 钥 交 换 消息 
Certificate 检 验 消息 ” 
改变 加 密 多 一 一 
结束 一 
改变 加 密约 定 
结束 
应 用 数据 应 用 数据 


图 7-2 SSL 协议 会 话 过 程 示 意图 


SSL 记录 层 接 收 上 层 的 数据 ,将 它们 分 段 ; 然 后 用 协商 层 约定 的 压缩 方法 进行 压缩 ， 
压缩 后 的 记录 用 约定 的 流 加 密 或 块 加 密 方式 进行 加 密 , 再 由 传输 层 发 送出 去 。 

IP 层 安 全 机 制 的 主要 优点 是 它 的 透明 性 , 即 安全 服务 的 提供 不 要 求 应 用 做 任何 改 
变 。 这 对 传输 层 来 说 是 做 不 到 的 。 原 则 上 ,任何 TCP/IP 应 用 ,只 要 应 用 传输 层 安全 协 
议 , 比 如 说 SSL 或 PCT, 就 必定 要 进行 若干 修改 以 增加 相应 的 功能 ,并 使 用 (稍微 ) 不 同 的 
IPC 界面 。 传 输 层 安全 机 制 的 主要 缺点 就 是 对 应 用 层 不 透明 ,应 用 程序 必须 修改 以 使 用 
SSL 应 用 接口 ,而 且 要 对 传输 层 建立 起 安全 机 制 。 同 时 SSL 也 同样 存在 公 钥 体系 的 不 方 
便 性 ,例如 用 户 很 难 记 住 自己 的 公 钥 和 私 钥 ,必须 依靠 某 些 物理 设备 (如 IC 卡 或 者 磁盘 ) 
来 存储 ,这 样 对 用 户 终端 有 一 定 要 求 。 再 有 就 是 服务 方 和 客户 方 必 须 依赖 CA 来 签发 证 
书 , 双 方 都 必须 将 CA 的 公 钥 存放 在 本 地 。 为 了 保持 Internet 上 的 通用 性 ,目前 一 般 的 
SSL 协议 实现 只 要 求 服务 器 方向 客户 方 出 示 证 书 以 证 明 自 己 的 身份 ,而 不 要 求 用 户 方 同 
样 出 示 证 书 , 在 建立 起 SSL 信道 后 再 加 密 传输 用 户 的 口令 ,实现 客户 方 的 身份 鉴别 。 

同 网 络 层 安全 机 制 相 比 ,传输 层 安全 机 制 的 主要 优点 是 它 提供 基于 进程 对 进程 的 (而 
不 是 主机 对 主机 的 ) 安 全 服务 和 加 密 传输 信道 ,利用 公 钥 体系 进行 身份 鉴别 ,安全 强度 高 ， 
支持 用 户 选择 的 加 密 算法 。 这 一 成 就 如 果 再 加 上 应 用 级 的 安全 服务 ,就 可 以 提供 更 加 可 
靠 的 安全 性 能 了 。 
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到 DNS 风险 及 缓解 方法 


791 直接 风险 


Internet 中 的 DNS 协议 是 不 安全 的 。DNS 安全 的 前 提 是 假定 DNS 服务 器 之 间 是 可 
信和 的, 即 DNS 系统 假定 DNS 服务 器 不 会 故意 提供 错误 的 信息 。DNS 协议 不 提供 客户 和 
服务 器 之 间 的 身份 鉴别 ,这 就 使 攻击 者 可 破坏 这 种 可 信 关 系 。 

DNS 攻击 包括 无 身份 鉴别 的 响应 ,缓存 受 损 以 及 ID 的 盲目 攻击 。 此 外 某 些 DNS 的 
实施 易 破 坏 DNS 分 组 。 


1 无 身份 鉴别 的 响应 

DNS 使 用 一 个 会 话 标识 来 匹配 请 求 和 回答 ,但 会 话 标识 不 提供 身份 鉴别 。 攻 击 者 观 
察 DNS 请 求 , 能 伪造 一 个 DNS 回答 。 假 的 回答 会 有 观察 到 的 会 话 标识 。 结 果 是 一 个 未 
经 身份 鉴别 的 响应 看 起 来 似乎 是 已 鉴别 的 。 攻 击 者 甚至 可 在 分 组 中 设置 授权 的 标记 ,去 
除 对 数据 正确 性 的 怀疑 。 请 求 者 接 到 回答 和 接受 未 经 身份 鉴别 的 响应 ,结果 是 攻击 者 能 
控制 主机 名 的 查找 ,并 进一步 重 指 被 害 者 的 连接 ,如 图 7-3 所 示 。 


2 DNS 缓存 受 损 

任何 地 方 有 未 经 身份 鉴别 的 响应 针对 请 求 者 ,就 能 针对 任何 类 型 的 DNS 服务 器 组 
存 ,使 DNS 缓存 受 损 。 攻 击 者 观察 DNS 请 求 , 并 生成 一 个 伪造 的 DNS 回答 。 回 答 看 来 
似乎 是 授权 的 , 且 含 有 一 个 长 的 缓存 超时 值 。 受 损 的 DNS 服务 器 可 对 任何 数据 请 求 提供 
假 数据 。 这 就 使 请 求 者 的 域 不 可 达 。 而 且 会 一 直 提供 错误 的 信息 ,只 要 受 损 信 息 在 组 
存 中 。 


E 机 是 1.2.3.4 
ID=768 


图 7-3 未 经 身份 鉴别 的 DNS 响应 攻击 图 7-4 ID 盲目 攻击 
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3.ID 盲 目 攻击 

未 经 鉴别 的 响应 和 缓存 受 损 都 需要 攻击 者 观察 到 DNS 请 求 和 会 话 标 识 。 但 观察 一 
个 请 求 不 总 是 必需 的 。 当 主机 名 出 现 超 时 ,攻击 者 可 选择 一 个 通用 的 域名 ,并 开始 攻击 。 
攻击 的 方法 是 生成 DNS 回答 的 泛滥 ,每 个 回答 包含 一 个 不 同 的 会 话 标识 ,如 图 7-4 所 示 。 


4 破坏 DNS 分 组 

DNS 协议 规定 了 查询 和 回答 的 数据 大 小 。 但 某 些 DNS 实施 没有 适当 地 检查 数据 边 
界 。 分 组 可 声称 含有 比 实际 更 多 的 数据 ,或 没有 包含 足够 的 数据 。 其 结果 是 缓冲 器 溢出 
和 不 足 。 


792 技术 风险 


直接 的 DNS 风险 是 由 于 协议 本 身 的 影响 ,但 技术 风险 是 基于 配置 的 问题 。 影 响 和 修 
改 DNS 服务 器 数据 的 能 力 直接 导致 DNS 遭 破 坏 。 技 术 风险 包括 DNS 域 拦截 .服务器 拦 
截 、 更 新 持续 时 间 以 及 动态 DNS。 


1. DNS 域 拦截 

任何 DNS 服务 器 的 所 有 者 能 把 服务 器 配置 为 任何 域 的 一 级 源 。DNS 并 不 包含 域 所 
有 者 的 概念 。 假 如 一 公司 要 配置 其 内 部 服务 器 为 microsoft. com 域 的 一 级 源 ,无 法 阻止 
它 这 样 做 。 但 DNS 的 层次 结构 能 阻止 这 类 配置 作为 无 效 信息 在 Internet 中 泛滥 。 假 如 
DNS 服务 器 在 服务 器 链 中 级 别 足够 高 (也 就 是 SLD,ccTLD 或 大 的 服务 提供 者 的 缓存 服 
务 器 ) ,那么 , 它 就 能 拦截 全 部 域 。 

DNS 拦截 是 可 行 的 ,很 多 计算 机 蠕虫 病毒 .间谍 软件 以 及 很 多 恶意 软件 将 信息 送 到 
Internet 的 远程 主机 。 最 通用 的 阻止 这 些 风险 的 缓解 方法 是 使 恶意 软件 不 能 搜集 主机 。 
假如 主机 是 不 可 达 的 ,那么 它 就 不 能 收集 信息 。 当 恶意 软件 站 点 的 IP 地 址 被 设 定 ,防火 
墙 的 出 口 过 滤 能 阻止 用 户 访问 。 当 恶意 软件 用 名 字 来 访问 远程 主机 ,DNS 成 为 最 佳 的 过 
滤 选 择 。 本 地 DNS 服务 器 能 配置 成 可 阻止 恶意 软件 站 点 对 主机 名 的 查找 。 假 如 主机 名 
不 能 查找 到 IP 地 址 ,那么 ,主机 不 可 达 。 

利用 DNS 服务 器 来 阻 断 不 希望 的 主机 名 查找 能 阻 断 访问 不 希望 的 站 点 ,在 这 些 站 点 
的 主机 服务 同色 情 、 欺 骗 和 恶意 软件 有 关 。 很 多 站 点 用 过 滤 的 方法 免除 在 线 风 险 。 


2 DNS 服务 器 拦截 

DNS 服务 器 能 被 拦截 。 被 拦截 的 服务 器 能 配置 成 提供 不 同 的 主机 信息 或 包含 一 些 
新 的 主机 名 。DNS 拦截 通常 发 生 的 两 种 情况 , 即 系统 被 破坏 或 IP 拦截 。 

DNS 服务 器 作为 应 用 程序 在 计算 机 上 和 运行。 假如 攻击 者 能 访问 计算 机 系统 ,那么 攻 
击 者 就 能 访问 DNS 服务 器 。 只 要 主机 系统 存在 潜在 的 遭 破 坏 的 风险 ,那么 DNS 服务 器 
也 是 易 受 损 的 。 例 如 ,在 主机 上 运行 着 一 台 老 的 打印 服务 器 ,后 者 又 易于 被 远程 利用 而 受 
破坏 ,那么 DNS 服务 器 也 会 因 这 种 远程 利用 而 易 受 破坏 。 

为 了 缓解 系统 被 破坏 的 风险 ,关键 的 DNS 服务 器 应 运行 在 加 固 的 系统 。 加 固 的 系统 
对 所 有 不 必要 的 服务 不 予以 提供 。 
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DNS 是 一 个 高 层 协议 ,这 意味 着 它 对 所 有 低层 风险 是 易于 受 破 坏 的 。 因 为 大 部 分 
DNS 服务 器 运行 在 IP 上 的 UDP 或 TCP ,而 IP 拦截 或 ARP 拦截 是 容易 的 。 假 如 攻击 者 
能 拦截 卫 或 ARP 分 组 ,那么 攻击 者 就 能 假冒 DNS 服务 器 。 虽 然 这 种 类 型 的 DNS 拦截 
十 分 少见 , 却 是 十 分 危险 的 。 


3 更 新 持续 时 间 

缓存 DNS 服务 器 同 每 个 DNS 项 的 超时 相关 联 。 当 主机 配置 改变 时 ,超时 防止 数据 
失效 。 假 如 超时 值 太 大 , 则 不 能 立即 完成 改变 。 假 如 管理 者 立即 重新 定位 主机 ,那么 缓存 
服务 器 将 指向 错误 的 地 址 。 


4 动态 DNS 

动态 主机 配置 协议 DHCP 普遍 用 于 对 本 地 网 上 的 主机 分 配 网 络 信 息 。DHCP 提供 
带 有 网 络 地 址 的 新 的 主机 、 上 默认 的 网 关 以 及 DNS 服务 器 信息 。 这 些 主机 只 能 用 它们 的 网 
络 地 址 访问 ,用 户 不 能 用 主机 名 来 访问 。 动 态 DNS(DDNS) 解 决 DHCP 的 主机 名 问题 。 
使 用 DDNS,DHCP 的 客户 能 在 本 地 DNS 系统 放 主机 名 。 虽 然 DHCP 客户 每 次 被 分 配 
一 个 新 的 连 到 网 络 的 网 络 地 址 ,但 是 DDNS 确保 主机 名 总 是 指 到 主机 的 新 的 网 络 地 址 。 

客户 能 很 容易 地 配置 DDNS 主机 名 ,但 是 DDNS 允许 名 字 拦 截 。 任 何不 和 活动 
DHCP 地 址 相 联系 的 主机 名 都 可 被 请 求 。 假 如 一 台 主 机 是 离线 的 或 不 可 用 ,那么 , 另 一 
台 主 机 能 容易 地 拦截 该 主机 名 。 只 要 被 拦截 的 名 字 同 有 效 的 DHCP 主机 相 联系 着 ,真正 
的 主机 就 不 能 请 求 该 名 字 。 


793 社会 风险 


DNS 在 Internet 中 扮演 了 一 个 关键 的 角色 。 破 坏 和 拦截 主机 名 直接 导致 DoS， 
MitM 以 及 其 他 系统 攻击 。DNS 服务 器 除了 有 直接 风险 和 技术 攻击 风险 外 ,还 有 其 他 一 
些 破坏 主机 和 域 的 方法 。 这 些 风险 来 自 人 为 因素 ,归结 为 DNS 社会 风险 ,包括 相似 的 主 
机 名 .自动 名 字 实 现 . 社 会 工程 以 及 域 的 更 新 。 


1 相似 的 主机 名 

当 使 用 键盘 时 ,打印 错误 是 经 常 的 ,这 样 造成 用 户 常常 输入 一 个 错误 的 主机 名 。 攻 击 
者 能 利用 这 些 知识 拦截 连接 。 例 如 用 户 要 连接 到 北京 银行 Bank of Beijing, 其 域名 是 
bankofbeijing. com. cn, 用 户 可 能 不 经 意 地 将 其 域名 输入 为 bonkofbeijing. com. cn。 假 如 
攻击 者 有 相似 的 主机 名 ,那么 ,就 可 伪装 成 真实 的 站 点 ,并 攻击 用 户 的 连接 。 


2 自动 名 字 实 现 

很 多 Web 浏览 器 支持 自动 名 字 实 现 ,用 户 可 不 输入 域名 服务 器 的 最 高 级 域名 ( 即 
. com) ,而 只 输入 主机 名 的 中 间 部 分 。 自 动 名 字 实 现 可 附加 一 串 后 缀 ,直至 找到 主机 名 。 
通常 最 先 试 的 后 缀 是 . com。 假 如 Web 站 点 不 是 以 . com 结尾 ,那么 ,攻击 者 能 注册 . com 
名 字 来 有 效 地 拦截 这 个 域 。 

一 个 著名 的 名 字 自 动 实现 拦截 的 例子 是 发 生 在 1997 年 对 美国 白宫 网 站 whitehouse 
. gov 的 拦截 ,攻击 者 注册 了 一 个 whitehouse. com 的 色情 网 站 。 用 户 在 其 浏览 器 输入 
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whitehouse, 自动 名 字 实 现 引 导 该 用 户 进入 该 色情 网 站 ,而 不 是 白宫 总 统 的 网 站 。 


3 社会 工程 

社会 工程 是 描述 社会 学 信念 的 术语 。 社 会 工程 不 是 用 计算 机 来 破坏 一 个 系统 ,而 是 
用 伪装 和 一 般 技术 。 可 以 使 用 电子 邮件 或 电话 来 改变 授权 者 ,并 取得 所 需 的 信息 。 

域名 注册 是 通过 少数 域名 注册 机 构 。 如 果 注 册 机 构 被 说 服 , 该 用 户 是 该 域名 的 授权 
拥有 者 ,那么 ,域名 信息 就 可 修改 或 转换 。 


4 域 更 新 

域名 注册 机 构 并 非 无 限期 地 赋予 域 ,而 是 有 限期 的 。 超 期 后 该 域名 就 放弃 。 通 常 注 
册 域 的 期 限 为 一 两 年 或 五 年 。 假 如 域 主 没 有 注意 过 期 , 忘 了 去 更 新 域名 。 当 过 期 后 ,任何 
人 可 注册 相同 的 域名 。 这 就 使 攻击 者 能 故意 侵占 一 个 域名 ,并 伪装 成 该 组 织 。 


794 缓解 风险 的 方法 


DNS 的 设计 是 用 来 管理 大 量 的 网 络 地 址 信息 。 设 计时 考虑 了 速度 .灵活 性 和 可 扩展 
性 ,但 并 未 考虑 其 安全 问题 。 它 并 不 提供 身份 鉴别 机 制 , 且 假定 所 有 的 询问 是 可 信 的 。 有 
几 种 缓解 DNS 风险 的 方法 。 使 DNS 安全 的 主要 方案 是 基于 特定 的 服务 器 配置 .可 信和 的 
定义 以 及 其 他 一 些 解决 方案 。 

大 部 分 DNS 风险 缓解 方法 基于 模糊 安全 和 打 补 丁 。 基 本 的 预防 方法 包括 直接 的 、 技 
术 的 ,侦察 以 及 社会 威胁 的 缓解 。 


1 直接 威胁 缓解 

基本 的 维护 和 网 络 分 段 能 限制 直接 威胁 的 影响 。 

"补丁 : DNS 服务 器 的 增强 版 经 常会 发 布 ,DNS 服务 器 和 主机 平台 应 定期 打 补 丁 
和 维护 。 

。 内 部 和 外 部 域 分 开 : DNS 服务 器 应 该 是 分 开 的 。 大 的 网 络 应 考虑 在 内 部 网 络 分 
段 间 分 开设 置 服务 器 ,以 限制 单个 服务 器 破坏 的 影响 , 且 能 够 平衡 DNS 负载 。 

。 限制 域 的 转换 : 域 的 转换 限制 于 特定 的 主机 , 且 由 网 络 地 址 或 硬件 地 址 标识 。 这 
个 方案 对 MAC 和 IP 伪装 攻击 是 脆弱 的 ,但 对 任意 的 主机 请 求 域 转换 确实 是 有 
用 的 。 

。 鉴别 的 域 转换 : 采用 数字 签名 和 鉴别 域 转换 能 减少 来 自 域 转换 拦截 和 破坏 的 
影响 。 

。 有 限 的 缓冲 间隔 : 缓冲 间隔 减少 至 低 于 DNS 回答 规定 的 值 ,可 以 减少 缓冲 器 受 
损 的 损坏 窗口 。 

， 拒绝 不 匹配 的 回答 : 假如 缓冲 DNS 服务 器 接 到 多 个 具有 不 同 值 的 回答 ,全 部 缓 
冲 器 应 刷新 。 虽 然 这 会 影响 缓冲 器 性 能 ,但 它 消 除了 长 期 缓冲 器 受 损 的 风险 。 

2 技术 威胁 的 缓解 

技术 风险 预防 方法 包括 网 络 .主机 和 本 地 环境 。 

。 加 固 服务 器 : 限制 远程 可 访问 进程 的 数量 ,就 能 限制 潜在 攻击 的 数量 。 加 固 服务 
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器 可 降低 来 自 技术 攻击 的 威胁 。 
防火 墙 : 在 DNS 服务 器 前 放置 硬件 防火 墙 限 制 了 远程 攻击 的 数量 。 


3 侦察 威胁 的 缓解 
。 限制 提供 DNS 信息 : 这 可 以 缓解 攻击 者 侦察 的 威胁 。 虽 然 DNS 不 能 完全 做 到 ， 


但 可 限制 提供 信息 的 类 型 和 数量 。 

限制 域 转换 : 域 的 转换 仅 限 于 鉴别 过 的 主机 。 虽 然 不 能 阻止 蛮 力 主机 的 查找 ,但 
可 阻止 侦察 。 

限制 请 求 : 限制 DNS 请 求 的 数量 可 由 任何 单个 网 络 地 址 完成 。 虽 然 不 能 防止 蛮 
力 域 监听 ,但 可 设置 障碍 。 

去 除 反 向 查找 : 假如 反 向 查找 不 是 必需 的 ,那么 去 除 它 。 这 可 限制 蛮 力 域 监听 的 
影响 。 

分 开 内 部 和 外 部 域 : DNS 服务 器 应 该 是 分 开 的 ,以 确保 LAN 的 信息 保持 在 
LAN。 特 别 是 内 部 主机 名 应 该 不 允许 外 部 可 观察 。 

去 除 额外 信息 : 不 是 直接 为 外 部 用 户 使 用 的 信息 应 该 去 除 ,例如 TXT,CNAME， 
HINFO 这 些 信 息 。 

隐藏 版 本 : 对 允许 本 地 登录 或 远程 状态 报告 的 DNS 服务 器 ,这 些 DNS 版 本 可 能 
被 泄露 。 因 为 不 同 的 版 本 和 不 同 的 利用 相关 ,应 该 修改 版 本 以 报告 假 信息 或 将 其 
去 除 。 


4 社会 威胁 缓解 
除了 对 用 户 进行 培训 ,防止 相似 主机 名 和 自动 名 字 完成 的 风险 ,还 有 以 下 一 些 : 


监控 相似 域 : 经 常 搜索 域名 的 变化 。 当 发 现 有 相似 主机 名 的 标识 ,DNS 提供 者 要 
求 他 们 关 掉 。 虽 然 这 是 一 个 复杂 的 耗 时 的 任务 ,但 这 是 监控 相似 域名 的 一 种 专门 
服务 。 

锁 住 域 : 使 用 支持 域 锁定 的 域 注册 者 。 这 需要 一 些 附加 信息 ,诸如 账户 信息 、 转 
换 域名 的 口令 。 

使 用 有 效 联系 : 在 域 注册 中 提供 一 个 或 多 个 有 效 联系 方法 ,以 允许 用 户 和 注册 者 
联系 域 主 。 但 不 需要 专门 的 人 名 或 个 人 信息 ,以 免 攻击 者 使 用 这 些 信 息 攻击 
域 主 。 

不 间断 支持 : 选择 一 天 24 小 时 ,一周 7 天 不 间断 支持 的 域 注册 者 。 这 样 在 任何 时 
候 可 和 注册 者 联系 ,以 解决 有 关 域 的 问题 。 

自己 主持 : 大 的 单位 应 选择 成 为 拥有 管理 自己 域 的 注册 者 。 


5 优化 DNS 配置 
绑 定 (BIND) 是 通用 的 DNS 服务 器 实施 。 有 很 多 文本 专门 描述 如 何 绑 定 DNS 服务 


器 的 配置 方法 。 有 些 文本 还 包括 安全 绑 定 , 即 如 何 防止 DNS 服务 器 被 拦截 。Internet 安 
全 联盟 提供 了 很 多 配置 安全 BIND 的 资源 。 


6 确定 可 信 的 回答 
一 般 DNS 服务 器 不 提供 可 信 的 标记 ,DNS 客户 端 无 法 决定 回答 是 否 是 合法 的 。 
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DNS 安全 扩展 (DNSSEC) 提 供 签名 以 鉴别 信息 以 及 对 每 个 回答 响应 的 数字 标记 。 然 而 ， 
DNSSEC 在 使 用 前 需要 发 鉴别 钥 , 但 它 只 鉴别 服务 器 而 不 对 内 容 鉴 别 。 

更 为 通用 的 方法 是 用 两 个 DNS 服务 器 ,一 个 用 于 LAN , 另 一 个 用 于 WAN。LAN 服 
务 器 对 所 有 内 部 主机 提供 DNS 支持 。 这 可 防止 外 部 黑客 的 破坏 。WAN 的 DNS 服务 器 
对 外 部 主机 提供 信息 。 


3106 ”SMTP 邮件 风险 


SMTP 邮件 系统 在 当初 设计 时 ,主要 考虑 可 靠 地 、 及 时 地 传递 报 文 ,并 没有 考虑 安 
全 。 这 就 导致 SMTP 的 一 系列 安全 风险 。 


1 伪装 报头 及 垃圾 邮件 

邮件 用 户 代理 MUA 能 指定 邮件 报头 ,每 个 邮件 中 继 附 加 接收 到 的 报头 到 邮件 的 开 
头 。 这 些 报头 用 来 跟踪 报 文 。 

伪装 的 邮件 报头 发 生 在 发 送 者 故意 插入 假 的 报头 信息 。 正 常 的 邮件 用 户 代理 MUA 
和 邮件 传送 代理 MTA 系统 只 加 有 效 的 报头 ,但 恶意 的 系统 有 可 能 加 上 假 的 信息 ,去除 合 
法 的 报头 ,或 修改 存在 的 报头 。 要 区 别 有 效 报头 和 无 效 报头 是 很 困难 的 。 

除了 最 后 接收 的 报头 以 外 ,电子 邮件 报头 的 所 有 属性 都 可 以 伪造 。 主 题 日期、 接收 
者 内容 甚至 最 初 接收 的 报头 都 能 用 SMTP 数据 命令 来 伪造 。 当 电子 邮件 送 到 一 个 真实 
的 MTA, 有 效 的 接收 报头 加 到 报 文 的 前 面 , 包 含 一 个 有 效 的 时 间 戳 和 原始 的 IP 地 址 。 

伪装 的 电子 邮件 能 导致 十 分 严重 的 后 果 ,包括 对 一 个 组 织 的 信誉 。 垃 圾 邮件 也 是 伪 
造 电子 邮件 滥用 的 例子 。 据 统计 垃圾 邮件 占 整个 电子 邮件 的 80% ,垃圾 邮件 如 此 多 的 原 
因 一 方面 是 因为 缺乏 身份 鉴别 , 另 一 方面 是 因为 造成 伪装 报头 只 需要 很 低 的 技巧 。 反 垃 
圾 邮件 的 解决 方法 主要 是 过 滤 和 拦截 大 约 90% 垃 圾 邮件 。 但 垃圾 邮件 制造 者 不 断 改换 
使 用 的 技术 ,以 致使 静态 反 垃圾 邮件 系统 失效 。 过 滤 不 仅 针对 垃圾 邮件 ,也 会 不 经 意 地 误 
把 非 垃圾 邮件 也 过 滤 掉 。 

识别 伪装 的 电子 邮件 需要 把 有 效 电 子 邮 件 和 伪装 电子 邮件 区 分 开 来 ,但 这 是 十 分 困 
难 的 。 一 般 来 说 ,一 个 伪装 报头 预示 在 它 后 面 的 信息 都 是 伪造 的 。 但 是 某 些 域 是 能 确定 
的 。 接 收 的 报头 应 包含 “from” 和 “by” 地 址 。 一 个 报头 by” 地址 应 该 和 下 一 个 报头 的 
“form” 地 址 相 匹 配 。 大 部 分 伪装 的 接收 的 报头 并 不 把 from” 和 “by” 地 址 合适 的 相连 。 
接收 的 报头 应 包含 一 个 时 间 稚 和 跟踪 号 。 假 如 这 些 不 存在 ,或 产生 很 大 延迟 ,那么 ,该 报 
头 似乎 是 伪造 的 。 

大 部 分 可 观察 的 属性 来 自发 送 者 及 其 内 容 。 假 如 发 送 者 是 不 认识 的 ,内 容 是 不 希望 
的 ,那么 ,该 电子 邮件 似乎 不 是 要 求 的 ,报头 大 概 是 伪造 的 。 

大 部 分 电子 邮件 服务 器 保持 处 理 日 志 。 加 到 接收 报头 的 唯一 识别 符 应 和 MTA 生成 
的 日 志 条 目 匹 配 。 当 跟踪 一 个 电子 邮件 ,邮件 日 志 能 帮助 判定 真 的 源 。 日 志 通常 包含 发 
送 者 ,接收 者 .时 间 戳 、.IP 地 址 ,甚至 进程 的 识别 。 当 伪造 电子 邮件 ,服务 器 列 出 的 假 的 报 
头 没有 日 志 条 目 。 
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虽然 邮件 日 志 能 用 来 跟踪 电子 邮件 ,但 并 非 总 是 可 取 的 。 因 为 来 自 不 同 的 服务 器 的 
日 志 经 常 是 不 可 访问 的 ,对 匿名 系统 也 是 不 可 取 的 。 


2 中 继 和 拦截 
SMTP 并 非 总 是 将 电子 邮件 从 发 送 者 直接 送 到 接收 者 ,通常 使 用 邮件 中 继 来 路 由 信 
息 。 结 果 是 主机 可 以 是 一 个 中 继 。 邮 件 中 继 是 由 DNS 中 的 MX 记录 来 决定 的 。 
SMTP 管理 员 无 须 专门 的 允许 来 操作 中 继 , 而 且 电 子 邮件 通常 是 用 明文 传送 。 结 果 
是 中 继 的 拥有 者 能 读 电子 邮件 ,每 个 电子 邮件 中 继 有 可 能 拦截 或 修改 报 文 的 内 容 。 
为 了 缓解 拦截 的 风险 ,敏感 的 电子 邮件 使 用 内 容 加密 。PGP 是 常用 的 加 密 电子 邮件 
的 例子 (RFC 2440)。 但 是 加 密 技术 用 于 电子 邮件 有 其 局 限 性 : 
。 兼容 性 : 并 非 每 个 电子 邮件 加 密实 施 都 是 遵从 标准 。 例 如 ,PGP 用 muttCUNIX 邮 
件 客户 ) 加 密 的 电子 邮件 ,对 用 Microsoft Outlook(PGP 支持 的 ) 用 户 不 是 很 容易 能 
看 到 的 。 愈 是 复杂 的 加 密 系 统 愈 安全 ,但 和 其 他 电子 邮件 系统 的 兼容 性 愈 差 。 
。 一 致 性 : 电子 邮件 最 大 的 强项 是 能 发 送 报 文 给 任何 人 ,甚至 完全 陌生 的 人 。 流 行 
的 密码 系统 需要 发 送 者 对 接收 者 有 事先 的 了 解 ,包括 交换 密 钥 。 


3 SMIP 和 DNS 

SMTP 最 大 的 风险 来 自 于 它 对 DNS 的 依从 。DNS 用 来 识别 邮件 中 继 ,然而 DNS 对 
很 多 形式 的 攻击 特别 容易 受 破坏 。 结 果 是 电子 邮件 通过 DNS 也 受 损 。 电 子 邮件 可 路 由 
到 敌意 的 中 继 或 单纯 地 被 阻 断 。 


4 低层 协议 

如 同 SMTP 受到 DNS 破坏 的 影响 ,SMTP 也 会 受到 低层 协议 ,诸如 MAC,IP 和 
TCP 拦截 的 影响 ,破坏 正在 传送 的 电子 邮件 。 因 为 SMTP 不 提供 数据 内 容 加 密 , 任 何 攻 
击 者 沿 着 网 络 通 路 能 看 到 所 有 通过 的 电子 邮件 。 

一 般 来 说 ,假如 安全 是 主要 的 考虑 因素 , 那 就 不 应 使 用 电子 邮件 。 特 别 是 明文 的 电子 
邮件 不 应 用 来 传送 口令 、 信 用 卡 信息 或 保密 信息 。 


5 Email 的 伦理 问题 

问题 不 仅 在 于 技术 上 的 限制 ,诸如 鉴别 .拦截 和 报头 伪装 ,还 有 由 于 所 有 权 和 分 发 引 
起 的 伦理 和 法 律 问题 ,包括 拷贝 权 和 个 人 隐私 等 问题 。 

首先 是 E-mail 的 处 理 和 使 用 ,没有 任何 技术 因素 使 接收 者 不 能 转发 电子 邮件 给 其 他 
人 ,即使 邮件 上 标志 “保密 ”“ 分 类 ”, 仍 能 分 发 出 去 。 有 些 组 织 制 定 E-mail 管理 政策 和 使 
用 E-mail 规则 ,但 从 技术 上 无 法 阻止 违规 行为 。 

E-mail 的 伪装 是 另 一 类 问题 。 最 简单 的 伪装 方法 只 需 配置 一 个 带 有 别人 E-mail 地 
址 的 邮件 客户 MUA, 更 复杂 一 点 的 伪装 使 用 自动 工具 ,通过 代理 中 继 和 MTA 通信 , 提 
供 精致 的 伪装 报头 。 

E-mail 只 是 提供 一 个 简单 的 从 发 送 者 到 接收 者 的 通路 ,SMTP 无 法 验证 电子 邮件 的 
传送 以 及 电子 邮件 是 否 已 被 接收 者 接收 。 为 此 SMTP 可 扩展 其 功能 ,包括 传递 通知 , 采 
用 回执 和 投递 通知 两 种 方法 。 但 是 这 两 种 方法 都 无 法 证 明 接 收 者 是 否 确实 收 到 了 该 邮 
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件 ,都 有 可 能 被 中 间 结 点 收 到 。 


7 HTTP 风险 


HTTP 的 设计 目标 是 灵活 和 实时 地 传送 文件 ,没有 考虑 安全 的 因素 。 但 是 使 用 
HTTP 的 各 种 应 用 都 期 望 提供 身份 鉴别 .认证 和 隐私 。 这 就 导致 基于 无 身份 鉴别 HTTP 
系统 的 风险 。 此 外 HTTP 服务 器 的 配置 和 CGI 的 各 种 应 用 能 对 远程 攻击 暴露 系统 。 

HTTP 使 用 通用 资源 访问 地 址 URL 作为 定义 查询 类 型 的 缩写 标记 。 它 不 仅 允许 标 
识 远程 服务 和 文件 ,而 且 也 导致 暴露 攻击 的 目标 。 


7.11.1 UR 漏洞 


URL 为 用 户 提供 了 方便 识别 网 络 资源 的 方法 ,URL 可 识别 服务 、 服 务 器 以 及 资源 参 
数 。 攻 击 者 能 策划 一 个 敌意 的 URL 并 把 被 害 者 指向 另 一 个 位 置 ,导致 被 破坏 。 有 很 多 
攻击 URL 的 方法 ,比较 常用 的 方法 有 主机 名 求解 攻击 、 主 机 名 伪装 、 剪 切 和 拼接 以 及 滥 
用 询问 。 

1 主机 名 求解 攻击 

URLs 通常 用 主机 名 到 基准 服务 器 ,这 使 用 户 容易 记 住 不 同 的 文本 字符 串 ,而 无 须 用 
不 易 记 忆 的 网 络 地 址 。 假 如 攻击 者 能 重 置 主机 名 求解 系统 ,那么 查询 能 送 至 另外 的 服务 
器 。 这 能 构成 MitM、 伪 装 或 DoS 攻击 。 

前 面 曾 讨论 过 破坏 DNS 的 各 种 方法 。 对 URLs 来 说 ,诸如 相似 的 主机 名 和 自动 完成 
这 类 社会 风险 比 直接 DNS 破坏 更 加 通用 。 


2 主机 伪装 

有 一 些 伪 装 主机 名 的 方法 ,而 无 须 修改 主机 名 求解 系统 。 例 如 网 络 地 址 能 用 整数 表 
示 , 有 一 些 不 常用 的 工具 能 把 整数 转换 成 网 络 地 址 ,但 很 少 常规 的 Web 用 户 使 用 这 种 过 
渡 的 技术 工具 ,让 主机 名 在 URL 中 ,甚至 很 少 计算 机 用 户 能 识别 它 。 因 此 网 络 地 址 的 整 
数 伪装 是 十 分 成 功 的 。 

另 一 种 伪装 方法 是 使 用 主机 名 域 在 URL 中 。 大 部 分 Web 服务 器 无 须 基于 URL 的 
鉴别 ,因此 用 户 名 和 口令 域 是 被 忽略 的 。 攻 击 者 能 在 用 户 名 中 插入 一 个 假定 用 户 不 会 注 
意 到 的 主机 名 。 钓 鱼 以 及 其 他 伪装 攻击 通常 使 用 这 种 伪装 形式 。 

3 统一 资源 标识 符 CURI) 伪装 

URI 用 来 描述 资源 和 参数 ,但 并 非 所 有 字符 都 是 有 效 的 。 例 如 HTTP 询问 使 用 间隔 
符 命 令 `URI 和 版 本 信息 隔 开 ,URI 不 能 包含 间隔 。 为 了 描述 更 大 的 字符 集 ,URI 字 符 能 
用 百分率 符号 和 ASCII 字符 编码 。 

攻击 者 能 用 URI 编码 来 伪装 主机 名 和 URI 信息 。 类 似 地 ,URI 内 的 字符 也 能 伪装 ， 
以 阻止 大 部 分 用 户 明 白 URI 的 内 容 。 
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4 剪 切 和 拼接 

URL 对 远程 资源 定义 一 个 逻辑 通路 。 该 通路 容易 被 修改 ,其 中 最 通用 的 两 个 修改 方 
法 是 剪 切 和 拼接 。 

剪 切 只 需 简 单 地 移 掉 URI 一 部 分 成 分 。 虽 然 安 全 服务 器 对 该 操作 将 返回 或 给 出 
404 差错 。 但 对 很 多 服务 器 仍 能 被 浏览 ,以 致 一 些 私 人 的 Web 页 面 能 被 看 到 。 

和 前 切 相反 ,拼接 是 附加 一 些 信息 至 URL。 例 如 大 部 分 Apache Web 服务 器 有 
images 和 icons 目录 。 在 原来 的 URI 拼接 上 icons 后 ,即使 不 能 打开 其 目录 ,但 返回 码 的 
类 型 能 确定 该 icon 目录 是 否 存在 。 即 使 不 能 访问 该 资源 ,不 同 的 返回 差错 信息 也 能 确认 
资源 是 否 存 在 。 为 此 应 加 固 HTTP 服务 器 ,加 固 的 方法 包括 : 

。 假 如 不 需要 的 话 , 一 些 默 认 的 目录 应 去 掉 。 

。 开放 的 目录 应 关 掉 。 

。 访问 允许 差错 和 文件 没有 找到 差错 的 默认 回答 应 相同 。 攻 击 者 应 不 能 识别 服务 

器 上 的 私人 资源 。 
。 私人 的 和 临时 的 文件 应 不 放 在 公共 服务 器 上 。 
。 内 容 不 能 看 的 目录 和 文件 应 从 公共 服务 器 去 除 。 


5 滥用 查询 

什么 地 方 有 剪 切 和 拼接 修改 URI 的 通路 ,那么 ,存储 在 URI 的 选项 就 能 被 修改 。 大 
部 分 包括 选项 的 URL 是 CGI 应 用 ,CGI 是 通过 网 关 接 口 , 用 来 和 HTTP 服务 器 的 应 用 
来 接口 。 它 允许 服务 器 传递 动态 内 容 , 而 不 仅 是 静态 Web 页 面 。URI 选项 经 常用 来 控 
制 CGI 功能 。 

大 部 分 URI 选项 的 格式 是 field= value。 改 变 这 些 参数 值 能 导致 改变 应 用 功能 ,可 
以 导致 侦察 和 开发 漏洞 。 例 如 攻击 者 能 识别 参数 值 的 范围 和 不 同 的 响应 码 ,从 而 更 加 详 
细 地 了 解 系统 。 在 某 些 情况 ,参数 值 可 以 是 其 他 URL 或 文件 通路 ,从 而 获得 HTTP 服务 
器 通常 使 用 权 的 信息 访问 。 当 参数 用 来 存储 状态 信息 ,攻击 能 修改 参数 值 ,就 有 可 能 访问 
用 于 其 他 用 户 的 信息 。 为 了 缓解 修改 选项 的 风险 ,CGI 应 该 验证 所 有 的 参数 。 


6 SQL 插入 

SQL 是 结构 化 查询 语言 ,用 来 访问 数据 库 信 息 。SQL 插入 攻击 是 通过 修改 SQL 命 
令 ,使 提交 到 URL 的 参数 和 选项 直接 送 到 数据 库 查询 。 通 过 使 用 未 检验 的 输入 ,攻击 者 
能 修改 查询 请 求 。 

例如 下 面 是 一 个 SQL 查询 : 

SETECT login,password, name 

EECM accounts 


WEEFE login= '$ IOGIN'; 
URL 可 使 用 http://server/cgi-bin/account? login 三 bob 来 访问 ,这 里 可 设置 
$ LOGIN 的 值 为 bob。 但 一 个 敌意 的 用 户 可 以 提交 一 个 URI 如 下 : 
/egi- bin/acoomt? Jogin bdb' ;+ INSERT+ INIO+ acoountsr ('evil', pass', 'Eiil User') ;ommit;]= ‘x' 
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这 样 经 URL 扩展 后 ,SQL 查询 如 下 : 

SEIECT login,password, nare 

FROM accounts 

WHERE loginr ‘bob'; 

INSERT INIO acoont's ('evil', ‘pass', 'Eiil User'); 

camit; 

Ex 

在 URI 中 的 单 引号 允许 完成 SQL 查询 ,附加 的 值 成 为 使 用 的 SQL 语句 。 这 个 例子 
插入 了 一 个 新 的 账户 ,该 账户 带 有 login evil 和 password pass。 使 用 这 个 攻击 形式 ,攻击 

者 能 选择 变更 的 数据 ,插入 新 的 数据 ,删除 存在 的 数据 ,生成 新 的 表 或 删除 已 有 的 表 。 任 

何 SQL 服务 器 可 用 的 功能 都 能 被 攻击 者 访问 。 

为 了 缓解 SQL 插入 攻击 有 以 下 几 种 方法 : 
。 所 有 由 HTTP 客户 送 来 的 参数 必须 加 单 引 号 ,因此 它们 不 会 扩展 成 可 执行 的 
语句 。 

所 有 输入 的 参数 在 使 用 前 必须 验证 。 不 安全 的 字符 ,诸如 单 引号 、 双 引号 、 型 式 匹 

配 字符 应 该 加 上 单 引 号 , 移 去 或 无 保留 地 拒绝 。 

。 使 用 查找 表 , 而 不 是 直接 使 用 客户 提供 的 表 信息 。 例 如 ,不 用 table 王 account , 客 
户 能 定义 table=1, 在 CGI 中 的 查找 表 将 1 转换 到 account ,以 阻止 攻击 者 定义 任 
意 的 数据 库 表 。 

。 数据 库 的 差错 信息 不 应 传 给 最 终 用 户 ,应 传 给 CGI 应 用 程序 ,并 将 其 转换 成 有 用 
的 用 户 级 信息 。 如 果 将 数据 库 差错 信息 直接 提供 给 用 户 , 只 能 帮助 攻击 者 ,导致 
进一步 的 SQL 插入 攻击 。 


7 跨 站 脚本 

跨 站 脚本 XSS(Cross-Site Scripting) 攻 击发 生 在 当 用 户 把 数据 提交 给 服务 器 后 ,又 
被 送 到 另 一 用 户 。 例 如 很 多 在 线 论坛 和 博客 允许 用 户 张 贴 内 容 和 超级 链接 。 张 贴 的 东西 
立即 可 被 其 他 用 户 访问 。 例 如 攻击 者 张贴 敌意 的 Java Script,Java 或 可 执行 的 病毒 , 那 
么 ,其 他 用 户 通过 XSS 攻击 指向 而 受到 影响 。 

虽然 传送 活动 码 (诸如 Java Script 或 病毒 ) 能 导致 直接 攻击 ,但 一 些 不 活动 的 攻击 可 
包含 到 敌意 站 点 或 假 信 息 的 链 路 。 

为 了 缓解 XSS 攻击 的 风险 ,用 户 张 贴 的 信息 应 该 是 受审 查 的 。HTML 和 活动 成 分 
应 审计 和 过 滤 。 很 多 基于 Web 的 论坛 不 允许 包括 HTML 内 容 的 传送 ,或 严格 地 限制 
HTML 成 分 。 如 可 能 的 话 , 张 贴 公共 发 布 信息 前 应 予以 评估 。 


7.112 常见 的 HIIP 风 险 


如 上 所 述 ,HTTP 的 设计 没有 考虑 安全 的 因素 ,而 使 用 HTTP 的 各 种 应 用 却 期 望 提 
供 鉴别 .认证 和 隐私 ,这 导致 基于 无 鉴别 的 HTTP 系统 的 各 种 风险 ,常见 的 HTTP 风险 
有 以 下 几 种 。 
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1 无 身份 鉴别 的 客户 

HTTP 并 没有 提供 很 多 方法 为 服务 器 对 HTTP 客户 端的 身份 进行 鉴别 。 一 些 基 本 
的 鉴别 方法 广泛 被 使 用 ,传输 的 凭证 并 不 提供 保密 。 因 为 用 明文 传输 数据 , 像 Telnet 和 
FTP 用 的 基本 身份 鉴别 是 不 安全 的 。 虽 然 可 以 用 SSH 来 替代 Telnet 和 FTP, 但 SSH 的 
连接 速率 很 慢 ,因此 很 少 用 它 来 替代 HTTP。 其 他 HTTP 鉴别 系统 (诸如 摘要 身份 鉴别 ) 
很 少 被 支持 ,而 且 摘 要 是 用 明文 传输 的 , 易 受 字典 攻击 的 破坏 。 

带 有 客户 端 证 书 的 HTTP 可 提供 客户 端的 身份 鉴别 ,但 很 少 系统 使 用 客户 端 证 书 ， 
再 加 上 SSL 也 有 基于 身份 鉴别 的 一 系列 风险 。 然 而 ,在 HTTP 上 使 用 基本 的 身份 鉴别 
或 摘要 身份 鉴别 对 提供 身份 鉴别 或 隐私 是 足够 的 。 一 般 而 言 ,很 少 HTTP 系统 对 客户 端 
进行 身份 鉴别 。 

2 无 身份 鉴别 的 服务 器 

如 同 客户 端 无 身份 鉴别 ,服务 器 也 常常 无 身份 鉴别 。 客 户 端 依据 主机 名 或 网 络 地 址 
作为 对 服务 器 的 识别 。 主 机 名 识别 易 受 DNS 攻击 的 损害 ,网 络 地 址 易 受 网 络 拦截 的 破 
坏 。 虽 然 SSL 提供 某 些 验证 ,但 浏览 器 的 使 用 问题 常常 阻止 用 户 有 效 地 使 用 验证 的 系 
统 。 没 有 客户 端 和 服务 器 的 证 书 ,SSL 只 能 提供 有 限 的 身份 鉴别 支持 。 


3 客户 端 隐私 

通常 HTTP 运行 在 一 个 独立 的 环境 ,每 个 HTTP 请 求 是 独立 的 。Cookies 和 身份 鉴 
别 系统 可 跟踪 用 户 , 但 只 是 限制 在 特定 的 服务 器 。 然 而 HTTP 报头 提供 交叉 服务 器 跟 
踪 。Web 浏览 器 提供 参考 报头 并 指示 链接 的 URL 来 自 何 处 。 

参考 报头 用 于 Web 站 点 收集 访问 者 的 统计 信息 。 跟 踪 这 个 信息 ,一 个 站 点 可 识别 哪 
些 别 的 站 点 和 它 相连 。 

但 是 参考 报头 包括 整个 URL ,如 果 参 考 URL 包含 查询 选项 ,那么 目标 服务 器 能 识别 
正在 查询 的 项 目 。 假 如 参考 URL 包含 登录 凭证 ,那么 目标 服务 器 能 收 到 这 些 赁 证。 


4 信息 泄露 
大 部 分 HTTP 客户 端 和 服务 器 泄露 大 量 信息 。HTTP 请 求 报头 通常 泄露 Web 浏览 
器 的 类 型 ,包括 版 本 及 操作 系统 。 类 似 地 ,HTTP 回答 报头 常常 包含 服务 器 类 型 ,版 本 以 
及 支持 的 插入 (plug-in)。 虽 然 服 务 器 可 以 加 固 以 隐蔽 信息 ,但 CGI 应 用 常常 基于 浏览 器 
类 型 (用 户 代理 ) 来 修改 回答 。 加 固 的 浏览 器 发 送 没有 鉴别 的 信息 ,可 能 阻 断 访问 服务 器 。 
从 HTTP 回答 的 信息 包括 一 个 时 间 惟 。 时 间 惟 通常 是 一 个 文件 最 近 的 修改 时 间 ,而 
CGI 应 用 通常 返回 当前 的 时 间 。 通 过 观察 时 间 戳 ,攻击 者 能 识别 数据 是 静态 的 (来 自 文 
件 ) 还 是 动态 的 (来 自 应 用 程序 ) 。 此 外 ,静态 的 时 间 戳 能 泄露 最 近 的 修改 时 间 。 老 的 文件 
表明 目录 很 少 被 监控 ,而 每 天 或 每 周 修改 的 文件 表明 管理 者 或 自动 脚本 何 时 访问 该 系统 。 
攻击 者 能 利用 这 个 时 间 戳 来 策划 攻击 。 
5 服务 器 定位 轮廓 
虽然 全 地 址 可 用 来 将 服务 器 限定 到 特定 的 区 域 . 国 家 或 城市 ,但 很 多 大 的 公司 的 子 网 
分 布 在 很 多 国家 。 可 利用 HTTP 泄露 的 信息 来 定位 服务 器 的 地 理 位 置 ,这 些 泄露 的 信息 包 
144 


ee 第 7 章 Internet 安全 体系 结构 之 二 mm 


括 HTTP 的 时 区 和 HTML 的 本 地 语言 ,都 可 以 用 来 确定 服务 器 所 在 的 国家 或 地 区 。 知 道 
了 服务 器 所 在 的 国家 和 位 置 有 利于 攻击 者 确定 攻击 时 间 , 以 避 开 服务 器 管理 者 监控 的 时 间 。 

为 了 缓解 服务 器 定位 轮廓 的 风险 ,要 尽量 减少 时 间 、 地 理 位 置 和 语言 信息 的 泄露 。 很 
多 Web 应 用 程序 不 用 本 地 时 间 , 而 用 Web 用 户 的 相对 时 间 。 高 敏感 系统 应 不 泄露 时 区 
和 本 地 语言 信息 ,或 配置 成 变换 的 时 区 和 默认 的 语言 设置 。 使 用 格林 威 治 时 间 GMT 配 
置 系统 能 阻止 定位 轮廓 。 


6 访问 操作 系统 

OSI 应 用 层 直接 和 主机 操作 系统 接口 。 通 过 访问 文件 或 应 用 程序 (经 CGI 程序 )， 
HTTP 服务 器 提供 直接 访问 来 处 理 HTTP 命令 。 通 过 修改 URL 通路 和 选项 ,针对 操作 
系统 的 漏洞 可 被 远程 访问 。 

不 管 什么 应 用 ,HTTP 服务 器 需要 直接 的 系统 访问 。 暴 露 的 问题 只 是 访问 系统 的 自 
由 度 。 甚 至 于 开放 目录 或 文件 时 间 戳 也 能 用 于 攻击 前 的 侦察 。 


7 不 安全 的 应 用 程序 

虽然 隐私 问题 .XSS、 开 放 目 录 以 及 信息 泄露 能 导致 攻击 目标 ,但 是 不 安全 的 CGI 应 
用 程序 形成 最 大 风险 。 通 过 专门 的 编程 可 以 缓解 应 用 程序 的 风险 。 加 固 Web 服务 器 本 
身 也 可 减少 这 类 风险 。 开 放 Web 应 用 安全 项 目 OWASP(The Open Application Security 
Project) 提 供 了 详细 的 列表 对 Web 服务 器 进行 安全 预防 ,包括 身份 鉴别 .授权 ,会 话 以 及 
隐私 管理 。 

8 低层 协议 

HTTP 漏洞 风险 也 来 自 低 层 协 议 。DNS 攻击 、TCP 拦截 和 更 低层 的 攻击 也 能 阻挡 
HTTP 拦截 信息 或 拦截 连接 。 即 使 带 有 SSL 和 摘要 鉴别 ,HTTP 仍然 会 受到 端点 攻击 
的 威胁 。 例 如 攻击 者 可 以 利用 有 效 凭证 建立 一 个 SSL 连接 和 鉴别 ,然后 企图 攻击 CGI 应 
用 程序 。 


712 ”本 章 小 结 


不 同类 型 的 漏洞 .攻击 和 威胁 存在 于 Internet 的 不 同 层次 ,Internet 安全 体系 结构 就 
是 对 于 不 同类 型 的 攻击 实施 不 同 层 的 保护 。 本 章 重 点 分 析 传 输 层 和 应 用 层 的 风险 以 及 组 
解 风 险 的 方法 。 

传输 层 的 主要 风险 围绕 着 序列 号 和 端口 。 要 拦截 传输 层 连接 ,攻击 者 必须 破坏 分 组 
序列 。 传 输 层 端口 直接 导致 网 络 服务 ,目标 瞄准 端口 ,远程 攻击 者 可 针对 一 个 专门 的 高 层 
服务 。 传 输 层 还 能 导致 侦察 攻击 ,包括 端口 扫描 和 信息 泄露 。 

TCP 侦察 .TCP 拦截 .TCP DoS 都 是 对 TCP 的 攻击 方法 ,缓解 对 TCP 攻击 的 方法 
有 改变 系统 框架 .人 侵 检测 和 入 侵 防 御 等 。 

由 于 TCP/IP 协议 本 身 非常 简单 ,没有 加 密 、 身 份 鉴别 等 安全 特性 ,因此 要 向 上 层 应 
用 提供 安全 通信 的 机 制 就 必须 在 TCP 之 上 建立 一 个 安全 通信 层次 。 最 常用 的 是 传输 层 
套 接 字 层 SSL, 它 的 主要 优点 是 它 提供 基于 进程 对 进程 的 (而 不 是 主机 对 主机 的 ) 安 全 服 
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务 和 加 密 传输 信道 。 

Internet 中 的 DNS 协议 是 不 安全 的 , 它 不 提供 客户 和 服务 器 之 间 的 身份 鉴别 。DNS 
风险 包括 直接 风险 ,技术 风险 和 社会 风险 。 大 部 分 DNS 风险 缓解 方法 基于 模糊 安全 和 打 
补丁 ,基本 的 预防 方法 有 直接 的 、 技 术 的 和 社会 的 威胁 缓解 以 及 优化 DNS 配置 等 。 

SMTP 邮件 风险 包括 伪装 报头 、 垃 圾 邮件 、 中 继 和 拦截 等 。SMTP 邮件 最 大 的 风险 
是 对 DNS 的 依从 , 它 也 会 受到 低层 协议 诸如 MAC,IP 和 TCP 拦截 的 影响 。SMTP 邮件 
还 有 伦理 和 法 律 的 问题 。PGP 是 常用 的 加 密 电子 邮件 ,以 缓解 风险 的 方法 。 

常见 的 HTTP 的 风险 包括 URL 漏洞 .无 身份 鉴别 的 客户 、 无 身份 鉴别 的 服务 器 、 客 
户 端 隐私 、 信 息 泄 露 .服务 器 定位 ,以 及 不 安全 的 应 用 程序 等 。OWASP 是 缓解 HTTP 风 
险 的 一 种 有 效 方法 。 


习 题 


1. 传输 层 有 哪些 风险 ? 试 比较 一 个 端口 和 多 个 端口 以 及 静态 端口 和 动态 端口 的 
风险 。 
.哪些 TCP 信息 的 类 型 可 用 来 识别 操作 系统 框架 ? 
. 假如 客户 到 服务 器 的 连接 被 拦截 ,会 引起 什么 后 果 ? 
. 列 出 5 种 方法 来 缓解 TCP 攻击 的 威胁 。 
. 什么 技术 可 用 来 减少 IP,TCP 和 UDP 的 攻击 指向 ? 
. DNS 协议 是 不 安全 的 , 它 存在 哪些 安全 风险 ? 有 哪些 缓解 这 类 风险 的 方法 ? 
.哪些 风险 是 由 于 DNS 配置 不 当 引 起 的 ? 有 哪些 缓解 这 类 风险 的 方法 ? 
.哪些 方法 可 缓解 对 DNS 的 侦察 威胁 ? 
. 什么 是 SMTP 通信 的 四 类 直接 威胁 ? 
.哪些 是 攻击 URL 的 方法 ? 
. 常见 的 HTTP 风险 有 哪些 ? 
12. HTTP 客户 端 和 服务 器 通常 会 泄露 哪些 信息 ? 
13. SSL 产生 会 话 密 钥 的 方式 是 什么 ? 
14. 传输 层 保护 的 网 络 采用 的 主要 技术 是 建立 在 什么 基础 上 的 ? 
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本 章 要 点 : 

。 防火 墙 原理 ; 

。 防火 墙 主 要 技术 ; 

。 防火 墙 体系 结构 ; 

。 堡垒 主机 的 作用 及 部 署 ; 
"数据 包 过 滤 规 则 ; 

。 状态 检测 数据 包 过 滤 原理 。 


8.1 防火墙 的 原理 


811 防火 墙 的 概念 


防火 墙 是 建立 在 内 外 网 络 边界 上 的 过 滤 封 锁 机 制 , 内 部 网 络 被 认为 是 安全 和 可 信赖 
的 ,而 外 部 网 络 (通常 是 Internet) 被 认为 是 不 安全 和 不 可 信赖 的 。 防 火 墙 的 作用 是 防止 
不 希望 的 ,未 经 授权 的 通信 进出 被 保护 的 内 部 网 络 ,通过 边界 控制 强化 内 部 网 络 的 安全 政 
策 。 防 火 墙 在 网 络 中 的 位 置 如 图 8-1 所 示 。 


图 8-1 防火 墙 在 网 络 中 的 位 置 


防火 墙 通常 是 运行 在 一 台 或 者 多 台 计 算 机 之 上 的 一 组 特别 的 服务 软件 ,用 于 对 网 络 
进行 防护 和 通信 控制 。 但 是 在 很 多 情况 下 防火 墙 以 专门 的 硬件 形式 出 现 ,这 种 硬件 也 被 
称 为 防火 墙 , 它 是 安装 了 防火 墙 软件 ,并 针对 安全 防护 进行 了 专门 设计 的 网 络 设备 ,本 质 
上 还 是 软件 在 进行 控制 。 

如 果 没 有 防火 墙 , 则 整个 内 部 网 络 的 安全 性 完全 依赖 于 每 个 主机 ,因此 ,所 有 的 主机 
都 必须 共同 达到 一 致 的 高 度 安全 水 平 。 也 就 是 说 ,网 络 的 安全 水 平 是 由 最 低 的 那个 安全 
水 平 的 主机 决定 的 ,这 就 是 所 谓 的 “ 木 桶 原理 ”, 木 桶 能 装 多 少 水 由 最 低 的 地 方 决 定 。 网 络 
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越 大 ,对 主机 进行 管理 使 它们 达到 统一 的 安全 级 别 水 平 就 越 不 容易 。 

防火 墙 隔离 了 内 部 网 络 和 外 部 网 络 , 它 被 设计 为 只 运行 专用 的 访问 控制 软件 的 设备 ， 
而 没有 其 他 的 服务 ,因此 也 就 意味 着 相对 少 一 些 缺陷 和 安全 漏洞 。 此 外 ,防火 墙 也 改进 了 
登录 和 监测 功能 ,从 而 可 以 进行 专用 的 管理 。 如 果 采 用 了 防火 墙 , 内 部 网 络 中 的 主机 将 不 
再 直接 暴露 给 来 自 Internet 的 攻击 。 因 此 ,对 整个 内 部 网 络 的 主机 的 安全 管理 就 变 成 了 
防火 墙 的 安全 管理 ,这 样 就 使 安全 管理 变 得 更 为 方便 ,易于 控制 ,也 会 使 内 部 网 络 更 加 
安全 。 

防火 墙 一 般 安放 在 被 保护 网 络 的 边界 ,必须 做 到 以 下 几 点 ,才能 使 防火 墙 起 到 安全 防 
护 的 作用 : 

(1) 所 有 进出 被 保护 网 络 的 通信 必须 通过 防火 墙 。 

(2) 所 有 通过 防火 墙 的 通信 必须 经 过 安全 策略 的 过 滤 或 者 防火 墙 的 授权 。 

(3) 防火 墙 本 身 是 不 可 被 侵入 的 。 

总 之 ,防火 墙 是 在 被 保护 网 络 和 非 信 任 网 络 之 间 进行 访问 控制 的 一 个 或 者 一 组 访问 
控制 部 件 。 防 火 墙 是 一 种 迎 辑 隔离 部 件 , 而 不 是 物理 隔离 部 件 , 它 所 遵循 的 原则 是 ,在 保 
证 网 络 畅通 的 情况 下 , 尽 可 能 地 保证 内 部 网 络 的 安全 。 防 火 墙 是 在 已 经 制定 好 的 安全 策 
略 下 进行 访问 控制 ,所 以 一 般 情 况 下 它 是 一 种 静态 安全 部 件 , 但 随 防 火 墙 技术 的 发 展 , 防 
火 墙 或 通过 与 IDS( 入 侵 检测 系统 ) 进 行 联动 ,或 自身 集成 IDS 功能 ,将 能 够 根据 实际 的 情 
况 进 行动 态 的 策略 调整 。 


812 防火 墙 的 功能 


防火 墙 具 有 如 下 几 个 功能 : 

(1) 访问 控制 功能 。 这 是 防火 墙 最 基本 也 是 最 重要 的 功能 ,通过 禁止 或 允许 特定 用 
户 访 问 特定 的 资源 ,保护 网 络 的 内 部 资源 和 数据 。 需 要 禁止 非 授权 的 访问 ,防火墙 需要 识 
别 哪 个 用 户 可 以 访问 何 种 资源 。 

(2) 内 容 控 制 功能 。 根 据 数据 内 容 进行 控制 ,比如 防火 墙 可 以 从 电子 邮件 中 过 滤 掉 
垃圾 邮件 ,可 以 过 滤 掉 内 部 用 户 访问 外 部 服务 的 图 片 信息 ,也 可 以 限制 外 部 访问 ,使 它们 
只 能 访问 本 地 Web 服务 器 中 的 一 部 分 信息 。 简 单 的 数据 包 过 滤 路 由 器 不 能 实现 这 样 的 
功能 ,但 是 代理 服务 器 和 先进 的 数据 包 过 滤 技 术 可 以 做 到 。 

(3) 全 面 的 日 志 功能 。 防 火 墙 的 日 志 功能 很 重要 。 防 火 墙 需要 完整 地 记录 网 络 访问 
情况 ,包括 内 外 网 进出 的 访问 ,需要 记录 访问 是 什么 时 候 进 行 了 什么 操作 ,以 检查 网 络 访 
问 情 况 。 就 如 银行 的 录像 监视 系统 ,记录 下 整体 的 营业 情况 ,一 旦 有 什么 事 发 生 ,就 可 以 
看 录像 , 查 明 事实 。 防 火 墙 的 日 志 系统 也 有 类 似 的 作用 ,一 旦 网 络 发 生 了 入 侵 或 者 遭 到 破 
坏 , 就 可 以 对 日 志 进行 审计 和 查询 。 日 志 需 要 有 全 面 的 记录 和 方便 的 查询 。 

(4) 集中 管理 功能 。 防 火 墙 是 一 个 安全 设备 .针对 不 同 的 网 络 情况 和 安全 需要 ,需要 
制定 不 同 的 安全 策略 ,然后 在 防火 墙 上 实施 ,使 用 中 还 需要 根据 情况 改变 安全 策略 ,而 且 
在 一 个 安全 体系 中 ,防火 墙 可 能 不 止 一 台 , 所 以 防火 墙 应 该 是 易于 集中 管理 的 ,这 样 管理 
员 就 可 以 很 方便 地 实施 安全 策略 。 

(5) 自身 的 安全 和 可 用 性 。 防 火 墙 要 保证 自身 的 安全 ,不 被 非法 侵入 ,保证 正常 的 工 
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作 。 如 果 防 火 墙 被 侵入 ,防火 墙 的 安全 策略 被 修改 ,这样 内 部 网 络 就 变 得 不 安全 。 防 火 墙 
也 要 保证 可 用 性 ;和 否则 网 络 就 会 中 断 ,网 络 连接 就 失去 意义 。 

另外 防火 墙 还 有 如 下 附加 的 功能 : 

(1) 流量 控制 ,针对 不 同 的 用 户 限制 不 同 的 流量 ,可 以 合理 使 用 带宽 资源 。 

(2) NAT(Network Address Translation ,网 络 地 址 转换 ) ,是 通过 修改 数据 包 的 源 地 
址 (端口 ) 或 者 目的 地 址 (端口 ) ,来 达到 节省 IP 地 址 资源 ,隐藏 内 部 IP 地 址 的 功能 的 一 种 
技术 。 

(3) VPN(Virtual Private Network ,虚拟 专用 网 ) , 指 利用 数据 封装 和 加 密 技术 ,使 本 
来 只 能 在 私有 网 络 上 传送 的 数据 能 够 通过 公共 网 络 (Internet) 进 行 传输 ,使 系统 费用 大 大 
降低 。 


813 边界 保护 机 制 


对 防火 墙 而 言 ,网 络 可 以 分 为 可 信和 网 络 和 不 可 信和 网 络 。 可 信和 网 络 和 不 可 信和 网 络 是 相 
对 的 ,一 般 来 讲 内 部 网 络 是 可 信和 网 络 ,Internet 是 不 可 信和 网 络 ;但 是 在 内 部 网 络 中 ,比如 财 
务 部 网 络 需 要 特殊 保护 ,在 这 里 财务 部 网 络 是 可 信和 网 络 ,其 他 的 内 部 网 络 就 变 成 了 不 可 信 
网 络 。 对 于 服务 器 来 说 ,比如 Web 服务 器 、 数 据 库 服 务 器 ,内 部 网 络 和 外 部 网 络 则 都 是 不 
可 信和 网 络 。 

防火 墙 的 安放 位 置 是 可 信 网 络 和 不 可 信 网 络 的 边界 , 它 所 保护 的 对 象 是 网 络 中 有 明 
确 闭合 边界 的 网 段 。 防 火 墙 是 可 信和 网 络 通 向 不 可 信和 网 络 的 唯一 出 口 ,在 被 保护 网 络 周边 
形成 被 保护 网 络 与 外 部 网 络 的 隔离 ,防范 来 自 被 保护 网 络 外 部 的 对 被 保护 网 络 安全 的 威 
胁 , 所 以 它 是 一 种 边界 保护 , 它 对 可 信和 网 络 内 部 之 间 的 访问 无 法 控制 , 仅 对 穿 过 边界 的 访 
问 进行 控制 。 


814 潜在 的 攻击 和 可 能 的 对 象 


防火 墙 放 在 可 信和 网 络 的 边界 ,直接 面 对 的 是 不 可 信和 网 络 可 能 的 攻击 ,面临 Internet 中 
的 恶意 访问 者 的 攻击 。 由 于 大 多 数 主 机 操作 系统 和 服务 存在 缺陷 ,薄弱 点 和 安全 漏洞 , 系 
统 的 配置 文件 不 当 和 口令 选择 失误 都 会 被 恶意 破坏 者 所 利用 ,安全 配置 错误 和 失误 越 来 
越 普遍 。 亚 意 破 坏 者 主要 有 以 下 几 种 可 能 的 攻击 : 

(1) 入 侵 内 部 网 络 。 包 括 没有 授权 地 访问 内 部 网 络 , 盗 取 信息 。 比 如 进行 地 址 欺骗 ， 
不 可 信和 网 络 的 用 户 伪 装 成 可 信和 网 络 的 地 址 ,从 而 绕 过 系统 的 认证 实现 进入 被 攻击 系统 ;或 
者 通过 在 内 部 网 络 中 安装 木马 程序 ,实现 对 内 部 机 器 的 控制 。 

(2) 针对 防火 墙 的 攻击 ,使 其 失去 功能 。 包 括 各 种 协议 漏洞 攻击 和 碎片 攻击 ,控制 防 
火 墙 ,使 防火 墙 死机 或 者 失去 本 身 应 有 功能 。 

(3) 拒绝 服务 攻击 。 此 种 攻击 现在 非常 普遍 ,对 网 络 的 危害 非常 大 ,是 防火 墙 较 难 阻 
挡 的 攻击 之 一 。 它 主要 有 以 下 几 种 方式 。 

中 Syn Flood: 该 攻击 以 多 个 随机 的 源 主 机 地 址 向 目的 主机 发 送 SYN 包 , 而 在 收 到 
目的 主机 的 SYN ACK 后 并 不 回应 ,这 样 ,目的 主机 就 为 这 些 源 主机 建立 了 大 量 的 连接 队 
列 , 而 且 由 于 没有 收 到 ACK 一 直 维 护 着 这 些 队 列 , 造 成 了 资源 的 大 量 消耗 而 不 能 向 正常 
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请 求 提 供 服务 。 

@ Smurf: 该 攻击 向 一 个 子 网 的 广播 地 址 发 一 个 带 有 特定 请 求 ( 如 ICMP 回应 请 求 ) 
的 包 , 并 且 将 源 地 址 伪装 成 想 要 攻击 的 主机 地 址 。 子 网 上 所 有 主机 都 回应 广播 包 请 求 而 
向 被 攻击 主机 发 包 , 使 该 主机 受到 攻击 。 

@ Land-based: 攻击 者 将 一 个 数据 包 的 源 地 址 和 目的 地 址 都 设置 为 目标 主机 的 地 
址 ,然后 将 该 数据 包 通 过 IP 欺骗 的 方式 发 送 给 被 攻击 主机 ,这 种 包 可 以 造成 被 攻击 主机 
因 试 图 与 自己 建立 连接 而 陷入 死 循 环 ,从 而 很 大 程度 地 降低 了 系统 性 能 。 

@ Ping of Death: 根据 TCP/IP 的 规范 ,一 个 IP 包 的 长 度 最 大 为 65 536B, 但 发 送 较 
大 的 IP 包 时 将 进行 分 片 ,这 些 IP 分 片 到 达 目 的 主机 时 又 重新 组 合 起 来 。 在 Ping of 
Death 攻击 时 ,各 分 片 组 合 后 的 总 长 度 将 超过 65 536B, 在 这 种 情况 下 会 造成 某 些 操 作 系 
统 的 宕 机 。 

@@ Teardrop: 较 大 的 IP 数据 包 在 网 络 传递 时 ,数据 包 可 以 分 成 更 小 的 片段 。 攻 击 者 
可 以 通过 发 送 两 段 ( 或 者 更 多 ) 数 据 包 来 实现 Teardrop 攻击 。 第 一 个 包 的 偏 移 量 为 0, 长 
度 为 N, 第 二 个 包 的 偏 移 量 小 于 N。 为 了 合并 这 些 数据 段 ,TCP/IP 堆栈 会 分 配 超 乎 寻常 
的 巨大 资源 ,从 而 造成 系统 资源 的 缺乏 甚至 系统 崩溃 。 

@ Ping Sweep: 使 用 ICMP Echo 轮 询 多 个 主机 ,阻塞 网 络 。 

@ Ping Flood: 该 攻击 在 短 时 间 内 向 目的 主机 发 送 大 量 ping 包 , 造 成 网 络 堵塞 或 主 
机 资源 耗 尽 。 

现在 的 攻击 方式 在 不 断 地 增加 ,但 是 主要 的 攻击 方式 可 以 分 为 以 下 几 种 : 

(1) 强度 攻击 ( 即 洪 水 攻击 )。 发 送 大 量 的 无 用 数据 包 来 堵塞 网 络 带宽 ,使 目标 机 器 
无 法 对 正常 的 请 求 发 生 反应 。 

(2) 协议 漏洞 攻击 。 主 要 是 针对 系统 的 协议 漏洞 进行 的 攻击 。 

(3) 应 用 漏洞 攻击 。 主 要 是 针对 系统 的 应 用 漏洞 进行 的 攻击 ,比如 针对 IIS 的 
Unicode 漏洞 的 远程 控制 的 攻击 ,针对 FTP 的 漏洞 的 攻击 等 。 

从 原理 上 来 讲 , 防 火 墙 可 以 对 以 上 各 种 攻击 进行 有 效 的 检测 和 阻挡 ,不 让 这 些 攻击 渗 
透 到 内 部 网 络 中 。 


815 互 操作 性 要 求 


防火 墙 是 一 种 安全 设备 ,同时 也 是 一 种 网 络 设备 , 它 安放 在 网 络 系统 中 ,需要 和 其 他 
网 络 设备 配合 ,以 适应 各 种 网 络 环境 ,这 样 才能 做 到 安全 性 和 可 用 性 的 统一 。 

防火 墙 需要 适应 各 种 网 络 环境 ,这 样 就 要 求 防火 墙 除了 在 安全 防护 的 功能 之 外 ,还 需 
要 具有 各 种 网 络 设备 的 功能 ,比如 路 由 功能 ,支持 各 种 路 由 协议 ,这 样 才能 和 其 他 的 路 由 
器 协同 工作 ;VLAN 的 支持 ,这 样 才能 支持 划分 了 VLAN 的 网 络 ;ADSL 的 支持 ,就 能 对 
ADSL 的 接 入 方式 提供 安全 保护 。 

如 果 在 已 有 的 网 络 体系 中 添加 防火 墙 ,将 可 能 影响 整个 网 络 的 结构 。 所 以 防火 墙 要 
做 到 尽量 配置 灵活 ,使 网 络 的 改造 工作 尽量 简单 。 一 般 防火 墙 是 充当 路 由 器 的 角色 ,但 是 
如 果 有 些 环境 改变 路 由 比较 困难 ,防火 墙 就 需要 工作 在 二 层 , 作 为 一 个 桥接 设备 来 使 用 ， 
这 样 就 不 需要 改变 路 由 ,网 络 的 结构 就 不 需要 改变 ,另外 防火 墙 可 能 还 需要 路 由 器 和 桥接 
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混用 的 情况 ,以 适应 复杂 的 网 络 环境 。 


816 防火 墙 的 局 限 性 


安装 防火 墙 并 不 能 做 到 绝对 的 安全 , 它 有 许多 防范 不 到 的 地 方 ,具体 如 下 : 

(1) 防火 墙 不 能 防范 不 经 由 防火 墙 的 攻击 。 例 如 ,如 果 人 允许 从 受 保护 网 内 部 不 受 限 
制 地 向 外 拨号 ,一 些 用 户 可 以 形成 与 Internet 的 直接 的 连接 ,从 而 绕 过 防火 墙 ,造成 一 个 
潜在 的 后 门 攻击 渠道 。 

(2) 防火 墙 不 能 防止 感染 了 病毒 的 软件 或 文件 的 传输 。 这 只 能 在 每 台 主机 上 装 反 病 
毒 软件 。 这 是 因为 病毒 的 类 型 太 多 ,操作 系统 也 有 多 种 ,不 能 期 望 防火 墙 去 对 每 一 个 进出 
内 部 网 络 的 文件 进行 扫描 , 查 出 潜在 的 病毒 ;否则 ,防火 墙 将 成 为 网 络 中 最 大 的 瓶颈 。 

(3) 防火 墙 不 能 防止 数据 驱动 式 攻击 。 有 些 表面 看 起 来 无 害 的 数据 通过 电子 邮件 发 
送 或 者 其 他 方式 复制 到 内 部 主机 上 ,一 旦 被 执行 就 形成 攻击 。 一 个 数据 型 攻击 可 能 导致 
主机 修改 与 安全 相关 的 文件 ,使 得 入侵 者 很 容易 获得 对 系统 的 访问 权 。 后 面 将 会 看 到 ,在 
堡垒 主机 上 部 署 代理 服务 器 是 禁止 从 外 部 直接 产生 网 络 连接 的 最 佳 方式 ,能 减少 数据 驱 
动 型 攻击 的 威胁 。 

(4) 防火 墙 不 能 防范 恶意 的 内 部 人 员 侵 入 。 内 部 人 员 通 晓 内 部 网 络 的 结构 ,如 果 他 
从 内 部 入侵 内 部 主机 ,或 进行 一 些 破坏 活动 ,因为 该 通信 没有 通过 防火 墙 ,所 以 防火 墙 无 
法 阻止 。 

(5) 防火 墙 不 能 防范 不 断 更 新 的 攻击 方式 ,防火 墙 制定 的 安全 策略 是 在 已 知 的 攻击 
模式 下 制定 的 ,所 以 对 全 新 的 攻击 方式 缺少 阻止 功能 。 防 火 墙 不 能 自动 阻止 全 新 的 侵入 ， 
所 以 以 为 安装 了 防火 墙 就 可 以 高 枕 无 忧 的 思想 是 很 危险 的 。 


817 防火 墙 的 分 类 


从 实现 技术 方式 来 分 类 ,防火 墙 可 分 为 包 过 滤 防 火 墙 . 应 用 网 关 防 火 墙 .代理 防火 墙 
和 状态 检测 防火 墙 ,后 面 分 别 详 述 。 

从 形态 上 来 分 类 ,防火 墙 可 以 分 为 软件 防火 墙 和 硬件 防火 墙 。 软 件 防火 墙 提 供 防火 
墙 应 用 软件 ,需要 安装 在 一 些 公共 的 操作 系统 上 ,比如 MS Windows 或 者 UNIX, 此 类 防 
火 墙 如 Checkpoint 防火 墙 。 硬 件 防 火 墙 是 将 防火 墙 软件 安装 在 专用 的 硬件 平台 和 专 有 
操作 系统 (有 些 硬件 防火 墙 甚至 没有 操作 系统 ) 之 上 ,以 硬件 形式 出 现 , 有 的 还 使 用 一 些 专 
有 的 ASIC 硬件 芯片 负责 数据 包 的 过 滤 。 这 种 方式 可 以 减少 系统 的 漏洞 ,性 能 更 好 ,是 比 
较 常 用 的 方式 ,比如 Cisco 的 PIX 防火 墙 。 

818 防火 墙 的 访问 效率 和 安全 需求 

防火 墙 是 网 络 的 开放 性 和 安全 的 控制 性 矛盾 对 立 的 产物 。 一 方面 网 络 的 优势 是 它 的 
互联 互通 性 ,用 户 希 望 快捷 顺畅 地 访问 网 站 ,收发 电子 邮件 等 ; 另 一 方面 ,网 络 也 是 不 安全 
的 ,所 以 需要 使 用 防火 墙 对 网 络 进行 控制 ,添加 安全 规则 ,让 用 户 通过 登录 来 完成 访问 授 
权 , 可 这 样 会 使 用 户 感到 烦琐 ,而 且 需 要 检查 的 安全 规则 越 多 ,网 络 性 能 就 会 越 差 。 所 以 
防火 墙 的 访问 效率 和 安全 需求 是 一 对 矛盾 ,应 该 努力 寻找 平衡 。 防 火 墙 的 访问 效率 一 般 

153 


ee 第 3 篇 网 络 安全 技术 ES 


是 指 防火 墙 的 性 能 ,根据 RFC2544 网 络 设备 的 性 能 指标 ,防火 墙 主要 有 以 下 几 个 性 能 指 
标 ( 具 体 的 指标 术语 由 RFC1242 定义 ) 。 

(1) 吞吐 量 : 指 防火 墙 在 不 丢失 数据 包 的 情况 下 能 达到 的 最 大 的 转发 数据 包 的 速 
率 。 这 个 指标 反应 了 防火 墙 转发 包 的 能 力 , 对 网 络 的 性 能 影响 很 大 ,吞吐 量 是 防火 墙 性 能 
中 的 一 项 非常 重要 的 指标 。 如 果 防 火 墙 的 吞吐 量 指标 太 低 就 会 造成 网 络 瓶 颈 , 影 响 网 络 
的 性 能 。 

(2) 时 延 : 对 存储 转发 设备 ,如 路 由 器 ,是 指 从 入 口 处 进入 的 输入 帧 的 最 后 一 个 比特 
到 达 , 到 从 出 口 发 出 的 输出 帧 的 第 一 个 比特 输出 所 用 的 时 间 间 隔 。 这 个 指标 能 够 衡量 出 
防火 墙 处 理 数据 的 快慢 。 

(3) 丢 包 率 : 在 特定 负载 下 , 指 应 由 网 络 设备 传输 ,但 由 资源 耗 尽 而 丢弃 帧 的 百 分 
比 。 在 连续 负载 的 情况 下 , 指 防火 墙 设备 由 于 资源 不 足 应 转发 但 却 未 转发 的 帧 所 占 的 百 
分 比 。 丢 包 率 是 衡量 防火 墙 设备 稳定 性 和 可 靠 性 的 重要 指标 。 

(4) 背 对 背 : 指 从 空闲 状态 开始 ,以 达到 传输 介质 最 小 合法 间隔 极限 的 传输 速率 发 
送 相当 数量 的 固定 长 度 的 帧 , 当 出 现 第 一 个 帧 丢失 时 所 发 送 的 帧 数 。 背 对 背 的 测试 结果 
能 够 反映 出 防火 墙 设备 的 缓存 能 力 、 对 网 络 突 发 数据 流量 的 处 理 能 力 。 

(5) 并 发 连接 数 : 指 穿越 防火 墙 的 主机 之 间或 主机 与 防火 墙 之 间 能 同时 建立 的 最 大 
连接 数 ,并 发 连接 数 的 测试 主要 用 来 测试 被 防火 墙 建立 和 维持 TCP 连接 的 性 能 。 同 时 也 
能 够 通过 并 发 连接 数 的 大 小 体现 防火 墙 对 来 自 客户 端 TCP 连接 请 求 的 响应 能 力 。 

在 选择 防火 墙 时 ,应 该 结合 安全 需求 和 防火 墙 的 性 能 来 进行 选择 。 现 在 网 络 速度 越 
来 越 快 ,对 防火 墙 的 要 求 也 越 来 越 高 ,一般 的 防火 墙 都 能 做 到 在 满足 安全 需求 的 情况 下 保 
证 性 能 ,但 是 它们 一 般 达 不 到 线 速 ,只 有 通过 专门 的 数据 包 过 滤芯 片 才 可 以 使 防火 墙 真正 
达到 线 速 。 


8.2 ”防火 墙 技术 


821 包 过 滤 技 术 


包 过 滤 (packet filtering) 技 术 是 防火 墙 在 网 络 层 中 根据 数据 包 中 包头 信息 有 选择 地 
实施 允许 通过 或 阻 断 。 依 据 防 火 墙 内 事先 设 定 的 过 滤 规 则 ,检查 数据 流 中 每 个 数据 包头 
部 ,根据 数据 包 的 源 地 址 、 目 的 地 址 .TCP/UDP 源 端 口号 .TCP/UDP 目的 端口 号 及 数据 
包头 中 的 各 种 标志 位 等 因素 来 确定 是 否 允 许 数据 包 通 过 ,其 核心 是 安全 策略 即 过 滤 规 则 
的 设计 。 一 般 来 说 ,不 保留 前 后 连接 信息 ,利用 包 过 滤 技 术 很 容易 实现 允许 或 禁止 访问 。 

例如 ,基于 特定 的 Internet 服务 的 服务 器 驻 留 在 特定 的 端口 号 的 事实 (如 TCP 端口 
23 用 于 提供 Telnet 服务 ) ,使 包 过 滤器 可 以 通过 规定 适当 的 端口 号 来 达到 阻止 或 允许 到 
特定 服务 连接 的 目的 ,也 可 以 通过 规定 协议 号 ,来 达到 阻止 或 允许 协议 的 连接 ,并 可 进 一 
步 组 成 一 套数 据 包 过 滤 规 则 。 

包 过 滤 技 术 在 防火 墙 上 的 应 用 非常 广泛 ,因为 CPU 用 来 处 理 包 过 滤 的 时 间 相 对 很 
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小 ,而 且 这 种 防护 措施 对 用 户 透明 ,合法 用 户 在 进出 网 络 时 ,根本 感觉 不 到 它 的 存在 ,使 用 
起 来 很 方便 。 但 是 因为 包 过 滤 技 术 是 在 IP/TCP 层 实现 的 ,所 以 包 过 滤 的 一 个 很 大 的 弱 
点 是 不 能 在 应 用 层级 别 上 进行 过 滤 , 所 以 防卫 方式 比较 单一 。 但 是 现在 已 经 有 一 些 在 IP 
层 重组 应 用 层 数据 的 技术 ,从 而 可 以 对 应 用 层 数据 进行 检查 ,可 以 辨认 一 些 人 侵 活动 , 达 
到 很 好 的 防护 效果 。 

包 过 滤 技术 作为 防火 墙 的 应 用 有 两 类 :一 是 路 由 设备 在 完成 路 由 选择 和 数据 转发 之 
外 ,同时 进行 包 过 滤 ,这 是 目前 较 常 用 的 方式 ;二 是 在 一 种 称 为 屏蔽 路 由 器 的 路 由 设备 上 
启动 包 过 滤 功能 。 


822 应 用 网 关 技 术 


应 用 网 关 (application gateway) 与 包 过 滤 防 火 墙 不 同 , 它 不 使 用 通用 目标 机 制 来 允许 
各 种 不 同 种 类 的 通信 ,而 是 针对 每 个 应 用 使 用 专用 目的 的 处 理 方法 。 虽 然 这 样 做 看 起 来 
有 些 浪 费 ,但 却 比 任何 其 他 方法 安全 得 多 ,因为 不 必 担 心 不 同 过 滤 规 则 集 之 间 的 交互 影响 
及 对 外 部 提供 安全 服务 的 主机 中 的 漏洞 ,而 只 需 仔细 检查 选择 的 应 用 程序 。 

应 用 网 关 技 术 是 建立 在 网 络 应 用 层 上 的 协议 过 滤 , 它 针对 特别 的 网 络 应 用 服务 协议 
即 数据 过 滤 协 议 , 并 且 能 够 对 数据 包 进 行 分 析 并 形成 相关 的 报告 。 应 用 网 关 对 某 些 易于 
登录 和 控制 所 有 输出 输入 的 通信 的 环境 给 予 严 格 的 控制 ,以 防 有 价值 的 程序 和 数据 被 窃 
取 。 它 的 另 一 个 功能 是 对 通过 的 信息 进行 记录 ,如 什么 样 的 用 户 在 什么 时 间 连 接 了 什么 
站 点 。 在 实际 工作 中 ,应 用 网 关 一 般 巾 专用 工作 站 系统 来 完成 。 

有 些 应 用 网 关 还 存储 Internet 上 那些 被 频繁 使 用 的 页 面 。 当 用 户 请 求 的 页 面 在 应 用 
网 关 服 务 器 缓存 中 存在 时 ,服务 器 将 检查 所 缓存 的 页 面 是 否 是 最 新 的 版 本 ( 即 该 页 面 是 否 
已 更 新 )。 如 果 是 最 新 版 本 , 则 直接 提交 给 用 户 ;否则 ,到 真正 的 服务 器 上 请 求 最 新 的 页 
面 ,然后 再 转发 给 用 户 。 

应 用 层 网 关 的 优点 是 它 易 于 记录 并 控制 所 有 的 进出 通信 ,并 对 Internet 的 访问 做 到 
内 容 级 的 过 滤 , 控 制 灵活 而 全 面 ,安全 性 高 。 应 用 级 网 关 具 有 登记 、 日 志 、 统 计 和 报告 功 
能 ,有 很 好 的 审计 功能 ,还 可 以 具有 严格 的 用 户 认证 功能 。 

应 用 层 网 关 的 缺点 是 需要 为 每 种 应 用 写 不 同 的 代码 ,维护 比较 困难 ,另外 就 是 速度 
较 慢 。 


823 状态 检测 防火 墙 


状态 检测 (stateful inspection) 防火 墙 现在 应 用 非常 广泛 ,状态 检测 是 一 种 相当 了 
4.5 层 的 过 滤 技 术 , 它 不 限于 包 过 滤 防 火 墙 的 3/4 层 的 过 滤 ,又 不 需要 应 用 层 网 关 防 火 墙 
的 5 层 过 滤 , 既 提供 了 比 包 过 滤 防 火 墙 更 高 的 安全 性 和 更 灵活 的 处 理 , 也 避免 了 应 用 层 网 
关 防 火 墙 带 来 的 速度 降低 的 问题 。 

要 实现 状态 检测 防火 墙 ,最 重要 的 是 实现 连接 的 跟踪 功能 。 对 于 单一 连接 的 协议 来 
说 相对 比较 简单 ,只 需要 数据 包头 的 信息 就 可 以 进行 跟踪 ;但 对 于 一 些 复杂 协议 ,除了 使 
用 一 个 公开 端口 的 连接 进行 通信 外 ,在 通信 过 程 中 还 会 动态 建立 子 连接 进行 数据 传输 ,而 
子 连 接 的 端口 信息 是 在 主 连接 中 通过 协商 得 到 的 随机 值 ,因此 对 于 此 类 协议 ,用 包 过 滤 防 
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火 墙 就 只 能 打开 所 有 端口 才能 允许 通信 ,但 这 会 带 来 很 大 的 安全 隐患 。 而 对 于 状态 检测 
防火 墙 , 则 能 够 进一步 分 析 主 连接 中 的 内 容 信息 ,识别 出 所 协商 的 子 连接 的 端口 而 在 防火 
墙 上 将 其 动态 打开 ,连接 结束 时 自动 关闭 ,充分 保证 系统 的 安全 。 如 使 用 FTP 协议 进行 
数据 传送 时 是 通过 另 一 个 子 连 接 进 行 的 ,状态 检测 防火 墙 能 够 通过 跟踪 主 连接 中 的 信息 
得 到 子 连接 所 用 的 端口 ,自动 确定 允许 此 连接 的 数据 通过 而 不 必 另 加 规则 。 使 用 多 个 连 
接 的 协议 ,除了 FTP 协议 外 ,还 有 一 些 数据 库 通 信使 用 的 协议 、 多 媒体 通信 使 用 的 协议 
等 ,状态 检测 防火 墙 为 能 跟踪 这 些 协 议 ,就 必须 单独 为 各 协议 实现 连接 跟踪 模块 ,而 且 一 
般 要 求 这 些 协议 在 协商 子 连接 端口 时 是 明文 协商 ,不 能 进行 加 密 。 


824 电路 级 网 关 


电路 级 网 关 也 被 称 为 线路 级 网 关 , 它 工作 在 会 话 层 。 它 在 两 个 主机 首次 建立 TCP 连 
接 时 创立 一 个 电子 屏障 。 它 作为 服务 器 接收 外 来 请 求 ,转发 请 求 :与 被 保护 的 主机 连接 时 
则 担当 客户 机 角色 ,起 代理 服务 的 作用 。 它 监视 两 主机 建立 连接 时 的 握手 信息 ,如 SYN、 
ACK 等 标志 和 序列 号 等 是 否 合乎 逻辑 ,判定 该 会 话 请 求 是 否 合法 。 一 旦 会 话 连 接 有 效 后 
网 关 仅 复制 ,传递 数据 ,而 不 进行 过 滤 。 电 路 网 关中 特殊 的 客户 程序 只 在 初次 连接 时 进行 
安全 协商 控制 ,其 后 就 透明 了 。 只 有 懂得 如 何 与 该 电路 网 关 通 信 的 客户 机 才能 到 达 防 火 
墙 男 一 边 的 服务 器 。 在 不 同方 向 上 拒绝 发 送 上 传 和 获取 命令 ,就 可 限制 FTP 服务 的 使 
用 。 如 不 允许 上 传 命令 输入 ,外 部 用 户 就 不 能 将 文件 上 传 到 FTP 服务 器 破坏 其 内 容 ; 如 
不 允许 上 传 命令 输出 , 则 不 可 能 将 信息 存储 在 网 点 外 部 的 FTP 服务 器 上 。 

电路 级 网 关 的 防火 墙 的 安全 性 比较 高 ,但 它 仍 不 能 检查 应 用 层 的 数据 包 以 消除 应 用 
层 攻 击 的 威胁 。 


825 代理 服务 器 技术 


代理 服务 器 (proxy server) 作 用 在 应 用 层 , 它 用 来 提供 应 用 层 服务 的 控制 ,在 内 部 网 
络 向 外 部 网 络 申请 服务 时 起 到 中 间 转 接 作 用 。 内 部 网 络 只 接受 代理 提出 的 服务 请 求 , 拒 
绝 外 部 网 络 其 他 结 点 的 直接 请 求 。 

具体 地 说 ,代理 服务 器 是 运行 在 防火 墙 主机 上 的 专门 的 应 用 程序 或 者 服务 器 程序 ; 防 
火 墙 主 机 可 以 是 具有 一 个 内 部 网 络 接口 和 一 个 外 部 网 络 接口 的 双重 宿主 主机 ,也 可 以 是 
一 些 可 以 访问 Internet 并 被 内 部 主机 访问 的 堡垒 主机 。 这 些 程序 接受 用 户 对 Internet 服 
务 的 请 求 ( 诸 如 FTP Telnet) ,并 按照 一 定 的 安全 策略 将 它们 转发 到 实际 的 服务 中 。 代 理 
提供 代替 连接 并 且 充 当 服 务 的 网 关 。 

包 过 滤 技 术 和 应 用 网 关 通 过 特定 的 逻辑 判断 来 决定 是 否 允 许 特定 的 数据 通过 。 其 优 
点 是 速度 快 ,实现 方便 。 缺 点 是 审计 功能 差 ,过滤 规 则 的 设计 存在 矛盾 关系 , 即 如 果 过 滤 
规则 简单 , 则 安全 性 差 ;如 果 过 滤 规 则 复杂 , 则 管理 困难 。 一 旦 判断 条 件 满足 ,防火 墙 内 部 
网 络 的 结构 和 运行 状态 便 “ 暴 露 ” 在 外 来 用 户 面前 。 代 理 技 术 则 能 进行 安全 控制 和 加 速 访 
问 , 有 效 地 实现 防火 墙 内 外 计算 机 系统 的 隔离 ,安全 性 好 ,以 及 实施 较 强 的 数据 流 监 控 \ 过 
滤 、 记 录 和 报告 等 功能 。 其 缺点 是 对 于 每 一 种 应 用 服务 都 必须 为 其 设计 一 个 代理 软件 模 
块 来 进行 安全 控制 ,而 每 一 种 网 络 应 用 服务 的 安全 问题 各 不 相同 ,分 析 困 难 , 因 此 实现 也 

156 


Eee 第 8 章 防火 墙 mm 


困难 。 

在 实际 应 用 当中 ,构筑 防火 墙 的 “真正 的 解决 方案 "很 少 采用 单一 的 技术 ,通常 是 多 种 
解决 不 同 问题 的 技术 的 有 机 组 合 。 用 户 需要 解决 的 问题 依赖 于 他 想 要 向 其 客户 提供 什么 
样 的 服务 以 及 愿意 接受 什么 等 级 的 风险 ,采用 何 种 技术 来 解决 那些 问题 依赖 于 用 户 的 时 
间 、 金 钱 专长 等 因素 。 

一 些 协议 (如 Telnet、SMTP) 能 更 有 效 地 处 理 数据 包 过 滤 , 而 另 一 些 ( 如 FTP、 
Gopher、WWW) 能 更 有 效 地 处 理 代 理 。 大 多 数 防火 墙 将 数据 包 过 滤 和 代理 服务 器 结合 
起 来 使 用 。 


”防火墙 体系 结构 


831 双重 宿主 主机 体系 结构 


双重 宿主 主机 体系 结构 围绕 双重 宿主 主机 构筑 。 双 重 宿主 主机 至 少 有 两 个 网 络 接 
口 。 这 样 的 主机 可 以 充当 外 部 网 络 和 内 部 网 络 之 间 的 路 由 器 ,所 以 它 能 够 使 内 部 网 络 和 
外 部 网 络 的 数据 包 直 接 路 由 通过 。 然 而 双重 宿主 主机 的 防火 墙 体系 结构 不 允许 这 样 直接 
地 通过 。 因 此 IP 数据 包 并 不 是 从 一 个 网 络 (如 外 部 网 络 ) 直 接 发 送 到 另 一 个 网 络 ( 如 内 部 
网 络 )。 外 部 网 络 能 与 双重 宿主 主机 通信 ,内 部 网 络 也 能 与 双重 宿主 主机 通信 ,但 是 外 部 
网 络 与 内 部 网 络 不 能 直接 通信 ,它们 之 间 的 通信 必须 经 过 双重 宿主 主机 的 过 滤 和 控制 , 它 
安装 了 防火 墙 的 软件 ,一 般 在 双重 宿主 主机 上 安装 代理 服务 器 软件 ,可 以 为 不 同 的 服务 提 
供 转发 ,并 同时 根据 策略 进行 过 滤 和 控制 。 

双重 宿主 主机 体系 结构 是 比较 简单 的 , 它 连接 内 部 网 络 和 外 部 网 络 。 它 相当 于 内 部 
网 络 和 外 部 网 络 的 跳板 ,能 够 提供 级 别 比 较 高 的 控制 ,可 以 完全 禁止 外 部 网 络 对 内 部 网 络 
的 访问 。 这 种 结构 可 以 允许 用 户 登 录 到 双重 宿主 主机 ,进而 访问 外 部 网 络 , 但 是 这 种 控制 
方式 是 不 安全 的 ,因为 外 部 网 络 用 户 也 有 可 能 登录 并 访问 内 部 网 络 , 而 且 这 种 访问 外 部 网 
络 的 方式 对 内 部 网 络 用 户 来 讲 也 是 很 麻烦 的 。 

这 种 情况 下 ,双重 宿主 主机 直接 暴露 在 外 部 网 络 中 ,充当 了 堡垒 主机 的 角色 ,这 种 体 
系 的 弱点 是 ,一 旦 堡垒 主机 被 攻破 ,使 其 成 为 一 个 路 由 器 ,那么 外 部 网 络 就 可 以 直接 访问 
内 部 网 络 。 具 体 结构 如 图 8-2 所 示 。 


832 被 屏蔽 主机 体系 结构 


双重 宿主 主机 体系 结构 防火 墙 没 有 使 用 路 由 器 。 而 被 屏蔽 主机 体系 结构 防火 墙 则 使 
用 一 个 路 由 器 把 内 部 网 络 和 外 部 网 络 隔离 开 , 如 图 8-3 所 示 。 在 这 种 体系 结构 中 ,主要 的 
安全 由 数据 包 过 滤 提 供 (例如 ,数据 包 过 滤 用 于 防止 人 们 绕 过 代理 服务 器 直接 相连 ) 。 
这 种 体系 结构 中 包括 堡垒 主机 。 堡 又 主机 是 Internet 上 的 主机 能 连接 到 的 唯一 的 内 
部 网 络 上 的 系统 。 任 何 外 部 的 系统 要 访问 内 部 的 系统 或 服务 都 必须 先 连接 到 这 台 主 机 。 
因此 堡垒 主机 要 保持 更 高 等 级 的 主机 安全 。 在 屏蔽 路 由 器 上 设置 数据 包 过 滤 策 略 , 让 所 
157 


ee 第 3 篇 网 络 安全 技术 ES 


图 8-2 ”双重 宿主 主机 体系 结 


有 的 外 部 连接 只 能 到 达 内 部 堡垒 主机 ,比如 收发 电子 邮件 。 


r------------------------4-r--------L-------- 
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图 8-3 被 屏蔽 主机 体系 结构 


数据 包 过 滤 人 允许 堡垒 主机 开放 到 外 部 网 络 的 可 人 允许 的 连接 。 在 屏蔽 的 路 由 器 中 数据 
包 过 滤 策 略 可 以 按 下 列 方案 之 一 设置 ; 

(1) 允许 其 他 的 内 部 主机 为 了 某 些 服务 开放 到 Internet 上 的 主机 连接 (允许 那些 经 
数据 包 过 滤 的 服务 ) 。 
(2) 不 允许 来 自 内 部 主机 的 所 有 连接 (强迫 那些 主机 经 由 堡垒 主机 使 用 代理 服务 )。 

(3) 对 于 内 部 用 户 对 外 部 网 络 的 访问 ,可 以 强制 其 经 过 堡垒 主机 ,也 可 以 让 其 直接 经 
过 屏蔽 路 由 器 出 去 ,针对 不 同 的 应 用 采用 不 同 的 安全 策略 。 
这 种 体系 允许 外 部 连接 到 内 部 堡垒 主机 ,所 以 看 上 去 比 双 重 堡垒 主机 更 不 安全 ,但 是 
路 由 器 一 般 比 主机 有 更 高 的 安全 性 ,所 以 这 种 结构 比 双重 堡垒 主机 更 具有 可 用 性 和 安全 
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性 。 但 是 这 种 结构 相对 比较 复杂 。 


833 被 屏蔽 子 网 体系 结构 


被 屏蔽 子 网 体系 结构 将 额外 的 安全 层 添 加 到 被 屏蔽 主机 体系 结构 , 即 通过 添加 周边 
网 络 更 进一步 地 把 内 部 网 络 和 外 部 网 络 (通常 是 Internet) 隔 离开 。 

周边 网 络 是 一 个 被 隔离 的 独立 子 网 ,充当 了 内 部 网 络 和 外 部 网 络 的 缓冲 区 ,在 内 部 网 
络 与 外 部 网 络 之 间 形 成 了 一 个 “隔离 带 ”。 这 就 构成 一 个 所 谓 的 “ 非 军事 区 ” 
(DeMilitarized Zone,DMZ) ,DMZ 是 周边 网 络 ,是 防火 墙 的 重要 概念 ,在 实际 应 用 中 经 常 
用 到 。 

被 屏蔽 子 网 体系 结构 的 最 简单 的 形式 是 两 个 屏蔽 路 由 器 ,每 一 个 都 连接 到 周边 网 络 。 
一 个 位 于 周边 网 络 与 内 部 网 络 之 间 , 另 一 个 位 于 周边 网 络 与 外 部 网 络 ( 通 常 为 Internet) 
之 间 , 如 图 8-4 所 示 。 有 的 屏蔽 子 网 中 还 设 有 一 堡垒 主机 作为 唯一 可 访问 点 ,支持 终端 交 
互 或 作为 应 用 网 关 代理 。 为 了 侵入 用 这 种 体系 结构 构筑 的 内 部 网 络 ,非法 入 侵 者 必须 通 
过 这 两 个 路 由 器 。 即 使 非法 入 侵 者 侵入 堡垒 主机 , 它 仍 将 必须 通过 内 部 路 由 器 。 


,---------------------> 
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: 防火 墙 内 部 路 由 器 
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图 8-4 被 屏蔽 子 网 体系 结构 


如 果 攻 击 者 试图 完全 破坏 防火 墙 , 它 必须 重新 配置 连接 3 个 网 络 的 路 由 器 , 既 不 切断 
连接 又 不 把 自己 锁 在 外 面 , 同 时 又 不 使 自己 被 发 现 ,这 样 做 是 可 能 的 。 但 若 禁 止 网 络 访问 
路 由 器 或 只 允许 内 部 网 络 中 的 某 些 主机 访问 它 , 则 攻击 会 变 得 很 困难 。 在 这 种 情况 下 , 攻 
击 者 要 先 侵 入 堡垒 主机 ,然后 进入 内 部 网 络 主机 ,再 返回 来 破坏 屏蔽 路 由 器 ,而 且 在 整个 
过 程 中 不 能 引发 报警 。 

这 种 体系 结构 具有 很 高 的 安全 性 ,所 以 被 广泛 采用 。 

被 屏 项 子 网 体系 机 构 具 有 以 下 优点 : 

(1) 入 侵 者 必须 突破 3 个 不 同 的 设备 (而 且 外 部 网 络 无 法 探测 到 ) 才 能 非法 入 侵 内 部 
网 络 、 外 部 路 由 器 堡垒 主机 ,还 有 内 部 路 由 器 。 


中 器 加 
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(2) 由 于 外 部 路 由 器 只 能 向 Internet 通告 DMZ 网 络 的 存在 ,Internet 上 的 系统 没有 
路 由 器 与 内 部 网 络 相通 。 这 样 网 络 管理 员 就 可 以 保证 内 部 网 络 是 “不 可 见 ” 的 ,并 且 只 有 
在 DMZ 网 络 上 选 定 的 服务 才 对 Internet 开放 。 

(3) 由 于 内 部 路 由 器 只 向 内 部 网 络 通告 DMZ 网 络 的 存在 ,内 部 网 络 上 的 系统 不 能 直 
接 通 往 Internet, 这 样 就 保证 了 内 部 网 络 上 的 用 户 必 须 通 过 驻 留 在 堡 驹 主机 上 的 代理 服 
务 才能 访问 Internet。 

(4) 包 过 滤 路 由 器 直接 将 数据 引 向 DMZ 网 络 上 所 指定 的 系统 ,消除 了 堡垒 主机 双重 
宿主 的 必要 。 

(5) 内 部 路 由 器 在 作为 内 部 网 络 和 Internet 之 间 最 后 的 防火 墙 系统 时 ,能 够 支持 比 
双重 宿主 保 人 又 主机 更 大 的 数据 包 吞 吐 量 。 

(6) 由 于 DMZ 网 络 是 一 个 与 内 部 网 络 不 同 的 网 络 ,NAT( 网 络 地 址 变换 ) 可 以 安装 
在 堡垒 主机 上 ,从 而 避免 在 内 部 网 络 上 重新 编 址 或 重新 划分 子 网 。 

这 个 结构 的 缺点 是 实施 和 管理 比较 复杂 。 


8 .4 堡垒 主机 


在 防火 墙 体系 结构 中 ,经常 提 到 保佑 主机 , 煲 人 又 主机 得 名 于 古代 战争 中 用 于 防守 的 坚 
固 的 堡垒 , 它 位 于 内 部 网 络 的 最 外 层 , 像 堡垒 一 样 对 内 部 网 络 进行 保护 。 在 防火 墙 体系 
中 ,堡垒 主机 要 高 度 暴 露 , 是 在 Internet 上 公开 的 ,是 网 络 上 最 容易 遭受 非法 入 侵 的 设备 。 
所 以 防火 墙 设计 者 和 管理 人 员 需 要 致力 于 堡 琶 主机 的 安全 ,而 且 在 运行 期 间 对 堡 忽 主 机 
的 安全 给 予 特别 的 注意 。 

构建 堡垒 主机 的 要 点 如 下 : 

(1) 选择 合适 的 操作 系统 。 它 需要 可 靠 性 好 支持 性 好 、 可 配置 性 好 。 

(2) 堡 至 主机 的 安装 位 置 。 保 鑫 主机 应 该 安装 在 不 传输 保密 信息 的 网 络 上 ,最 好 它 
处 于 一 个 独立 网 络 中 ,比如 DMZ。 

(3) 保佑 主机 提供 的 服务 。 堡 侄 主机 需要 提供 内 部 网 络 访问 Internet 的 服务 ,内 部 
主机 可 以 通过 堡垒 主 机 访问 Internet, 另 外 内 部 网 络 也 需要 疝 Internet 提供 服务 。 

(4) 保护 系统 日 志 。 作 为 一 个 安全 性 举足轻重 的 主机 ,堡垒 主机 必须 有 完善 的 日 志 
系统 ,而 且 必 须 对 系统 日 志 进 行 保护 。 

(5) 监测 和 备份 。 最 简单 的 方式 是 把 备份 存储 到 与 堡垒 主机 直接 相连 的 磁带 机 上 。 


S65 数据 包 过 滤 


851 数据 包 过 滤 的 特点 


数据 包 过 滤 的 安全 策略 基于 以 下 几 种 方式 : 
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(1) 数据 包 的 源 地 址 。 

(2) 数据 包 的 目的 地 址 。 

(3) 数据 包 的 TCP/UDP 源 端口 。 

(4) 数据 包 的 TCP/UDP 目的 端口 。 

(5) 数据 包 的 标志 位 。 

(6) 用 来 传送 数据 包 的 协议 。 

一 般 的 包 过 滤 防 火 墙 对 数据 包 数 据 内 容 不 做 任何 检查 (有 些 可 以 ) ,而 只 检查 数据 包 
头 信息 。 数据 包 过 滤 在 网 络 中 起 着 重要 的 作用 ,可 以 在 单 点 位 置 为 整个 网 络 提供 安全 保 
护 。 以 WWW 服务 为 例 , 如 果 不 想 让 外 部 用 户 访问 内 部 的 WWW 服务 ,可 以 通过 关闭 所 
有 主机 上 的 WWW 服务 做 到 ,但 是 如 果 有 人 新 装 了 一 台 机 器 并 且 启 动 了 WWW 服务 , 安 
全 性 就 会 被 破坏 。 而 只 要 在 包 过 滤 路 由 器 上 加 上 安全 规则 ,禁止 外 部 对 内 部 WWW 服务 
(TCP 80 端口 ) 的 访问 , 则 无 论 是 否 所 有 的 内 部 网 络 主机 都 启动 了 WWW 服务 ,它们 都 将 
得 到 保护 ,这 样 做 很 容易 也 很 安全 。 数 据 包 过 滤 对 用 户 是 透明 的 ,不 要 求 内 部 网 络 用 户 进 
行 任何 配置 。 

作为 网 络 边 界 的 数据 包 过 滤 路 由 器 可 以 提供 一 些 特别 的 保护 ,比如 可 以 拒绝 所 有 来 
自 于 外 部 , 却 具有 内 部 源 地 址 的 数据 包 , 这 就 是 常用 的 一 种 入 侵 方 式 一 一 IP 地 址 欺骗 。 
因为 数据 包 过 滤 路 由 器 处 于 网 络 边界 ,很 容易 判断 数据 包 是 来 自 于 外 部 还 是 内 部 ,这 样 就 
很 容易 阻挡 IP 地 址 欺骗 入 侵 。 

但 是 数据 包 过 滤 也 是 有 局 限 的 ,其 局 限 性 表现 如 下 : 

(1) 不 能 进行 内 容 级 控制 ,如 针对 用 户 身 份 进行 限制 ,不 能 做 到 对 于 一 个 Telnet 服 
务 器 ,禁止 userl 登录 ,而 允许 user2 登录 ;因为 用 户 名 是 数据 包 内 容 部 分 的 信息 ,过 滤 系 
统 不 能 辨认 从 而 无 法 控制 。 另 如 ,不 能 针对 于 一 个 FTP 服务 器 ,允许 用 户 下 载 某 些 文件 ， 
而 禁止 用 户 下 载 某 些 文件 ;因为 文件 名 也 属于 数据 包 内 容 , 所 以 不 能 辨认 。 

(2) 数据 包 的 过 滤 规 则 制定 比较 复杂 ,需要 针对 不 同 的 IP 或 者 服务 制定 很 多 的 安全 
规则 ,而 且 过 滤 规 则 会 存在 冲突 或 者 漏洞 ,检查 起 来 相对 困难 。 

(3) 有 些 协议 不 适合 包 过 滤 。 


852 数据 包 过 滤 的 应 用 


现在 Internet 广泛 采用 TCP/IP 协议 ,TCP/IP 协议 得 遵守 一 个 4 层 的 参考 模型 , 包 
括 接 口 层 、 网 络 层 ,传输 层 和 应 用 层 。 下 面 分 析 数 据 包 过 滤 在 各 层 协 议 中 的 应 用 。 


1.IP 协 议 

对 于 数据 包 过 滤 ,IP 层 有 几 个 重要 的 信息 ,可 以 依据 这 些 信息 制定 相应 的 安全 策略 : 

(1) IP 源 地 址 ,32 位 。 

(2) IP 目的 地 址 ,32 位 。 

(3) IP 协议 类 型 ,辨别 TCP 数据 包 类 型 和 ICMP 数据 包 类 型 。 

(4) IP 选项 字段 。 

可 以 根据 IP 协议 中 的 IP 源 地 址 和 IP 目的 地 址 来 制定 安全 规则 ,数据 包 过 滤 面 对 的 
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最 普遍 的 IP 选项 字段 是 源 地 址 路 由 , 源 地 址 路 由 是 由 数据 包 的 源 地 址 来 指定 到 达 目 的 地 
的 路 由 ,而 不 是 让 路 由 器 根据 其 路 由 表 来 决定 向 何 处 发 送 数据 包 。 这 种 功能 有 的 时 候 是 
有 用 的 ,比如 路 由 器 的 路 由 表 发 生 了 损坏 ;但 是 有 的 时 候 也 会 被 黑客 所 利用 ,企图 绕 过 安 
全 检测 ,而 不 走 预先 设计 好 的 路 由 路 径 。 这 种 类 型 的 攻击 是 为 了 旁 路 安全 措施 并 导致 数 
据 包 循 着 一 个 对 方 不 可 预料 的 路 径 到 达 目 的 地 ,另外 它 还 将 成 为 IP 地 址 欺骗 攻击 的 辅助 
手段 ,来 实现 欺骗 的 IP 地 址 能 够 正常 路 由 ,并 且 能 够 收 到 回应 。 

解决 这 个 问题 的 办 法 很 简单 ,只 要 检查 IP 选项 ,简单 地 丢弃 所 有 包含 源 路 由 选项 的 
数据 包 即 可 。 这 样 做 既 可 保证 安全 ,也 不 会 影响 正常 的 访问 。 

IP 协议 的 特点 之 一 就 是 将 一 个 大 的 数据 包 划 分 成 若干 个 适合 大 小 的 、 能 通过 网 络 传 
送 的 IP 片 , 称 为 IP 分 片 。IP 分 片 到 达 目 标 机 器 后 ,再 重新 组 装 成 完整 的 IP 数据 包 。 对 
于 数据 包 过 滤 , 只 有 在 第 一 个 分 片 中 才 包 含 来 自 于 高 层 协议 的 报头 信息 ,数据 包 过 滤 可 以 
检查 这 个 段 ,根据 报头 来 决定 是 否 允 许 整个 数据 包 通过 。 如 果 禁 止 该 数据 包 ,数据 包 过 滤 
只 是 丢弃 了 IP 分 片 的 第 一 个 分 片 ,其 他 的 分 片 还 是 能 够 通过 。 但 是 不 管 有 多 少 个 分 片 通 
过 ,目标 机 器 都 不 能 将 这 些 段 装配 成 原来 的 数据 包 , 因 为 第 一 个 分 片 已 经 没有 了 。 但 是 这 
样 做 也 是 有 危险 的 ,因为 目标 机 器 会 将 收 到 的 分 片 在 内 存 中 保留 一 段 时 间 ,等待 首 段 的 到 
来 ,这 使 黑客 有 可 能 利用 分 片 数据 包 进行 拒绝 服务 攻击 ,使 目标 计算 机 不 能 工作 。 当 目标 
主机 不 能 组 装 数据 包 时 , 它 会 发 送 一 个 ICMP 数据 包 组 装 超时 的 消息 返回 ,这 样 黑客 就 知 
道 该 主机 是 存在 的 ,以 及 为 什么 连接 不 成 功 。 除 非 进行 设置 过 滤 掉 这 些 ICMP 信息 。 当 
允许 外 部 请 求 进入 ,禁止 应 答 的 时 候 , 应 答 的 首 片 被 禁止 ,但 是 其 他 的 分 片 将 流出 ,黑客 就 
可 以 得 到 它们 ,并 进行 分 析 得 到 它们 想得到 的 东西 。 

极 小 数据 段 式 攻击 (Tiny Fragment Attacks) 的 特点 是 入 侵 者 使 用 了 IP 分 片 的 特性 ， 
创建 极 小 的 分 片 并 强行 将 TCP 头 信 息 分 成 多 个 数据 包 段 。 这 种 攻击 是 为 了 绕 过 用 户 定 
义 的 过 滤 规 则 。 黑 客 寄 希望 于 过 滤器 ,路 由 器 只 检查 第 一 个 分 片 而 允许 其 余 的 分 片 通过 。 


2 TOP 协议 

针对 数据 包 过 滤 ,TCP 层 有 几 个 重要 的 信息 : 

(1) TCP 源 端口 。 

(2) TCP 目标 端口 。 

(3) TCP 标志 字段 。 

可 以 根据 TCP 协议 中 的 源 端口 和 目的 端口 来 制定 安全 规则 ,因为 TCP 的 源 端 口 通 
常 是 随机 的 ,所 以 通常 不 使 用 源 端 口 进行 控制 。 通 过 检查 TCP 标志 字段 ,可 以 辨认 这 个 
TCP 数据 包 是 SYN 包 , 还 是 非 SYN 包 。 检 查 单独 的 SYN 标志 ,就 可 以 知道 它 是 TCP 
连接 中 3 次 握手 中 的 第 一 个 请 求 ,如果 要 禁止 该 连接 ,只 要 禁止 这 个 包 就 可 以 了 。 

3 UDP 协议 

针对 数据 包 过 滤 ,UDP 协议 有 几 个 重要 的 信息 : 

(1) UDP 源 端 口 。 

(2) UDP 目标 端口 。 

可 以 根据 UDP 协议 中 的 源 端 口 和 目的 端口 来 制定 安全 规则 。 因 为 UDP 的 源 端口 
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通常 是 随机 的 ,所 以 通常 不 使 用 源 端口 进行 控制 。 


4 ICMP 协 议 

ICMP 即 Internet 控制 与 报 文 协议 ,由 RFC792 定义 ,这 个 协议 主要 用 来 进行 错误 信 
息 和 控制 信息 的 传递 ,例如 ,著名 的 Ping 工具 是 利用 ICMP 协议 中 的 ECHO request 报 
文 进行 的 (请 求 报 文 ICMP ECHO 类 型 8 代码 0, 应 答 报 文 ICMP ECHOREPLY 类 型 0 
代码 0) 。 

ICMP 协议 有 一 个 特点 , 它 是 无 连接 的 ,也 就 是 说 只 要 发 送 端 完成 ICMP 报 文 的 封装 
并 传递 给 路 由 器 ,这 个 报 文 将 会 像 邮 包 一 样 自己 去 寻找 目的 地 址 。 这 个 特点 使 得 ICMP 
协议 非常 灵活 快捷 ,但 是 同时 也 带 来 一 个 缺陷 就 是 易 伪 造 (邮包 上 的 寄 信 人 地 址 是 可 以 随 
便 写 的 ) 。 任 何人 都 可 以 伪造 一 个 ICMP 报 文 并 发 送出 去 ,伪造 者 可 以 直接 改写 报 文 的 
ICMP 首部 和 IP 首部 ,这 样 的 报 文 携带 的 源 地 址 是 伪造 的 ,在 目的 端 根本 无 法 追查 ,根据 
这 个 原理 ,出 现 了 不 少 基于 ICMP 的 攻击 软件 ,有 通过 网 络 架 构 缺 陷 制 造 ICMP 风暴 的 ， 
有 使 用 非常 大 的 报 文 堵 塞 网 络 的 ,有 利用 ICMP 碎片 攻击 消耗 服务 器 CPU 的 ,甚至 有 将 
ICMP 协议 用 于 通信 ,制作 出 的 不 需要 任何 TCP/UDP 端口 的 木马 。 

包 过 滤器 一 般 禁止 从 外 部 网 络 来 的 到 内 部 网 络 和 包 过 滤器 本 身 的 ICMP 包 , 这 样 就 
可 以 避免 危险 。 


853 过 滤 规 则 制定 的 策略 


1. 按 地 址 过 滤 

按 地 址 过 滤 是 最 简单 的 过 滤 方 式 , 它 只 限制 数据 包 的 源 地 址 和 目的 地 址 ,而 不 必 考 虑 
协议 。 如 果 限 制 源 地 址 ,就 会 面临 风险 ,因为 源 地 址 是 可 以 伪造 的 ,前 面 已 经 分 析 过 ,如 果 
外 部 用 户 伪装 成 内 部 用 户 的 IP 地 址 ,数据 包 过 滤 路 由 器 可 以 很 好 地 防护 ,但 是 如 果 只 允 
许 特定 的 外 部 主机 访问 内 部 网 络 , 此 时 如 果 另 一 个 主机 伪装 成 特定 的 外 部 主机 ,过 滤器 就 
无 能 为 力 了 。 

在 源 地 址 伪装 侵入 中 ,黑客 可 以 伪装 成 用 户 信任 的 外 部 主机 ,但 是 内 部 主机 的 回应 却 
不 会 到 达 黑 客 那里 ,此 时 黑客 也 能 完成 人 侵 。 但 是 它们 可 以 通过 其 他 方法 更 方便 地 实现 
入 侵 ,比如 当 信任 主机 出 现 故障 时 ,如 通过 拒绝 服务 攻击 使 信任 主机 骨 溃 而 失去 反应 , 黑 
客 就 可 以 取代 信任 主机 进行 人 侵 ,具体 步骤 如 下 : 

Q@ 假定 有 一 个 黑客 ,A 和 B 是 合法 用 户 ,B 位 于 防火 墙 内 部 .并且 防 火 墙 允许 外 部 网 
络 中 的 A 主机 的 IP 地 址 访问 B 主机 。 为 达到 假冒 目的 ,黑客 通过 一 个 打开 端口 连接 到 
A 的 计算 机 ,然后 查看 A 的 计算 机 初始 序列 号 (ISN) 并 分 析 它们 是 如 何 变化 的 ,得 到 序列 
号 的 变化 规律 ,当然 也 可 能 完全 靠 猜测 得 到 序列 号 ,因为 如 果 TCP 实现 时 未 使 用 好 的 序 
列 号 初始 化 算法 的 话 , 固 定 的 ,有 规律 的 序列 号 变化 是 可 以 进行 猜测 的 。 

@ 利用 ISN 信息 ,针对 A 执行 一 次 DOS 攻击 ,使 主机 A 崩溃 ,失去 反应 能 力 。 然 后 
黑客 用 A 的 地 址 给 B 发 一 个 消息 。B 照例 用 3 次 握手 的 第 二 部 分 对 A 做 出 答复 。 黑 客 
模仿 A 用 应 答 (ACK) 和 前 面 发 现 的 已 增加 的 ISN 发 送 3 次 握手 的 最 后 一 部 分 。 

@ 成 功 完成 以 上 步骤 后 ,黑客 就 与 B 的 计算 机 建立 了 一 个 连接 并 可 以 开始 发 送 命令 
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了 。 现 在 黑客 可 以 尝试 重新 配置 B 的 计算 机 ,以 便 让 B 所 有 的 回复 都 直接 发 送 给 自己 而 
不 是 给 A 主机 ,如 图 8-5 所 示 。 


第 四 步 :用 A 的 
ACK&I SN 给 B 回 应 


第 一 步 : DOS 
攻击 让 A 崩溃 


第 三 步 : B 给 A 回 有 
A SYN/ACK B 


图 8-5 IP 欺骗 攻击 


所 有 类 型 的 假冒 攻击 都 是 一 种 严重 的 威胁 ,可 以 用 下 列 方法 来 对 付 : 
(1) 防火 墙 不 制定 针对 外 部 网 络 IP 地 址 的 信任 关系 。 

(2) 确保 ISN 真正 是 随机 的 ,而 且 很 难 预测 。 

(3) 关闭 IP 源 路 由 。 


2 按 服务 过 滤 

按 服务 过 滤 , 就 是 根据 相应 的 TCP/UDP 端口 进行 过 滤 ,比如 禁止 外 部 网 络 对 内 部 
网 络 的 Telnet 的 访问 ,就 需要 检查 数据 包 的 目的 端口 和 TCP 标志 位 ,如 果 是 端口 23 ,并 
且 是 SYN 包 , 则 拒绝 这 个 包 。 在 实际 应 用 中 ,一 般 使 用 的 是 目的 端口 过 滤 , 对 于 源 端口 
过 滤 也 是 有 风险 的 ,由 上 面 的 分 析 可 知 , 源 端口 也 是 可 以 伪装 的 。 并 且 也 需要 保证 内 部 的 
服务 确实 是 在 相应 的 端口 上 。 

但 是 无 法 保证 外 部 的 服务 确实 是 在 常规 的 端口 上 ,如 果 防 火 墙 的 限制 完全 基于 外 部 
主机 的 端口 号 ,例如 ,配置 允许 内 部 主机 到 外 部 服务 器 的 邮件 发 送 服务 , 当 TCP 端口 25 
确 是 一 个 常规 邮件 端口 时 ,这 个 配置 就 没有 危险 ,但 是 防火 墙 没 有 办 法 控制 一 个 外 部 主机 
上 的 端口 号 。 黑 客 可 能 会 用 其 他 程序 从 这 个 主机 上 的 端口 25 发 向 内 部 主机 ,建立 连接 ， 
进行 非 授权 的 访问 。 

解决 这 个 问题 的 办 法 是 根据 协议 的 双向 性 ,禁止 25 端口 对 内 部 主机 的 访问 ,也 就 是 
对 外 部 的 端口 取消 信任 。 

在 内 部 到 外 部 的 TCP 和 UDP 连接 中 ,内 部 主机 采用 的 源 端口 一 般 是 大 于 1024 的 随 
机 端口 ,这样 给 过 滤 规 则 增加 了 困难 。 需 要 允许 返回 的 到 内 部 主机 的 大 于 1024 端口 的 数 
据 包 都 要 允许 。 对 于 TCP 连接 来 说 ,可 以 通过 TCP 协议 的 flag 位 来 辨认 从 外 部 到 内 部 
的 连接 请 求 ,从 而 可 以 阻止 对 高 于 1024 端口 的 非法 连接 。 而 UDP 是 无 连接 的 协议 ,没有 
标准 可 以 区 分 ,只 能 通过 端口 号 。 但 是 端口 号 是 可 以 伪造 的 ,如 果 返 回 的 数据 包 不 是 到 主 
机 随机 产生 的 端口 ,而 是 到 另 一 个 端口 ,可 能 就 是 一 次 破坏 服务 器 的 尝试 。 所 以 允许 
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UDP 协议 的 对 外 访问 是 有 风险 的 。 但 是 有 些 UDP 协议 却 没有 这 样 的 问题 ,因为 它们 的 
请 求 端 口 和 目的 端口 都 是 固定 的 ,这 样 防火 墙 只 需 简单 地 允许 相应 的 端口 的 进出 就 可 以 
保证 安全 了 。 


3 对 数据 包 做 日 志 记 录 

数据 包 过 滤 路 由 器 应 该 详细 记录 所 有 被 过 滤 掉 的 数据 包 , 这 样 就 可 以 了 解 过 滤 规则 
阻止 了 哪些 访问 ,也 可 以 了 解 究竟 哪些 人 试图 违反 规则 。 当 然 , 记 录 所 有 通过 的 数据 包 也 
是 一 个 保险 的 措施 ,虽然 这 样 需要 很 多 的 存储 空间 ,但 是 为 了 解决 问题 ,这 样 做 也 是 值 
得 的 。 


854 数据 包 过 滤 规则 


在 配置 数据 包 过 滤 规 则 之 前 ,需要 明确 要 允许 或 者 拒绝 什么 服务 ,并且 需要 把 策略 转 
换 成 为 针对 数据 包 的 过 滤 规则 。 

网 络 协议 一 般 都 是 双向 的 ,如 果 发 送 了 一 个 请 求 或 者 一 条 命令 , 另 一 边 的 主机 就 会 发 
出 某 种 响应 ,所 以 在 规划 数据 包 过 滤 规 则 时 ,一定 要 注意 数据 包 是 双向 的 。 例 如 想 允 许 某 
个 主机 访问 Telnet 服务 器 ,但 是 设置 规则 时 只 允许 Telnet 的 命令 的 方向 能 通过 ,没有 多 
许 返回 的 数据 包 通 过 ,这 样 还 是 不 能 访问 的 。 

当 想 禁止 某 个 用 户 访问 Telnet 服务 器 时 ,设置 单 向 规则 也 是 没有 用 的 ,如 果 设 置 规 
则 允许 Telnet 的 命令 的 方向 可 以 通过 ,而 不 允许 返回 的 数据 包 通 过 ,入 侵 也 是 有 可 能 得 
膛 的 。 因 为 一 个 娴熟 的 黑客 是 可 以 预见 Telnet 服务 所 具有 的 返回 数据 包 的 ,就 好 像 在 一 
个 没有 显示 器 的 主机 上 仍然 可 以 完成 复制 动作 一 样 , 它 仍然 可 以 间接 地 获取 数据 ,比如 将 
数据 发 送 到 其 他 主机 或 者 邮件 中 。 

在 数据 包 过 滤 规 则 中 有 两 种 基本 的 安全 策略 : 默认 接受 和 默认 拒绝 。 默 认 接受 是 指 
除非 明确 地 指定 禁止 某 个 数据 包 ; 和 否则 数据 包 是 可 以 通过 的 。 而 默认 拒绝 则 相反 , 它 是 除 
非 明确 地 指定 允许 某 个 数据 包 通过 ;和 否则 数据 包 是 不 可 以 通过 的 。 从 安全 的 角度 讲 , 默 认 
拒绝 应 该 是 更 安全 的 。 

建立 数据 包 过 滤 规 则 需 按 如 下 步骤 去 做 ， 

@ 建立 安全 策略 ( 写 出 所 允许 的 和 禁止 的 任务 ) 。 

@ 将 安全 策略 转化 为 数据 包 分 组 字段 的 逻辑 表达 式 。 

@ 用 防火 墙 提供 的 过 滤 规 则 句法 重 写 逻 辑 表达 式 并 设置 。 

首先 要 针对 网 络 的 具体 情况 制定 需要 保护 什么 、 需 要 对 外 提供 什么 样 的 服务 的 安全 
策略 。 主 要 考虑 两 个 方面 ,一 是 内 部 网 络 需 要 访问 外 部 网 络 的 什么 服务 ,如 WWW 、 
FTP、 电 子 邮 件 等 ;二 是 需要 给 外 部 网 络 提供 什么 服务 ,因为 外 部 网 络 是 不 安全 的 ,因此 要 
特别 小 心 ,这 个 口子 开 得 越 小 越 好 。 

通过 制定 数据 包 过 滤 规 则 来 控制 哪些 数据 包 可 以 进入 或 者 流出 内 部 网 络 。 在 制定 了 
数据 包 规则 后 ,对 于 每 一 个 数据 包 ,路 由 器 会 从 第 一 条 规则 进行 检查 ,直到 找到 一 个 可 以 
匹配 它 的 规则 ,然后 根据 规则 来 决定 是 接受 还 是 拒绝 整个 数据 包 ; 如 果 规 则 表 中 没有 匹配 
的 规则 , 则 根据 设置 的 安全 策略 进行 处 理 , 如 默认 拒绝 , 则 这 个 数据 包 将 被 拒绝 。 
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86 状态 检测 的 数据 包 过 滤 


状态 检测 防火 墙 对 每 个 合法 网 络 连接 保存 的 信息 包括 源 地 址 .目的 地 址 .协议 类 型 、 
协议 相关 信息 (如 TCP/UDP 协议 的 端口 ICMP 协议 的 ID 号 ) .连接 状态 (如 TCP 连接 
状态 ) 和 超时 时 间 等 ,防火 墙 把 这 些 信息 叫做 状态 。 通 过 状态 检测 ,可 实现 比 简单 包 过 滤 
防火 墙 具 有 更 大 的 安全 性 。 

当 防 火 墙 接收 到 初始 化 TCP 连接 的 SYN 包 时 ,要 对 这 个 带 有 SYN 的 数据 包 进 行 安 
全 规则 检查 。 将 该 数据 包 在 安全 规则 里 依次 比较 ,如 果 在 检查 了 所 有 的 规则 后 ,该 数据 包 
都 没有 被 接受 ,那么 拒绝 该 次 连接 。 如 果 该 数据 包 被 接受 ,那么 本 次 会 话 的 连接 信息 被 添 
加 到 状态 监测 表 里 。 该 表 位 于 防火 墙 的 状态 检测 模块 中 。 对 于 随后 的 数据 包 , 就 将 包 信 
息 和 该 状态 监测 表 中 所 记录 的 连接 内 容 进行 比较 ,如 果 会 话 是 在 状态 表 内 ,而 且 该 数据 包 
状态 正确 ,该 数据 包 被 接受 ;如 果 不 是 会 话 的 一 部 分 ,该 数据 包 被 丢弃 。 这 种 方式 提高 了 
系统 的 性 能 ,因为 不 是 每 一 个 数据 包 都 要 和 安全 规则 比较 。 只 有 在 新 的 请 求 连接 的 数据 
包 到 来 时 才 和 安全 规则 比较 。 所 有 的 数据 包 与 状态 检测 表 的 比较 都 在 内 核 模 式 下 进行 ， 
所 以 执行 速度 很 快 。 

状态 检测 防火 墙 的 理论 基础 是 使 用 客户 机 /服务 器 模式 进行 的 连接 具有 连接 状态 ,最 
典型 的 是 TCP 连接 ,TCP 连接 由 11 个 状态 组 成 ,其 状态 转换 如 图 8-6 所 示 。 在 TCP 包 
头 中 有 6 个 标志 位 :FIN、SYN、RST、PSH、ACK、URG。 最 初 双方 软件 未 启动 时 都 处 于 
CLOSED 状态 , 当 服 务 器 启动 后 ,将 打开 某 一 TCP 端口 而 进入 LISTEN 状态 ,等 待 TCP 
客户 端的 连接 ,客户 端 程序 启动 后 要 向 服务 器 连接 ,客户 端 向 服务 器 发 送 SYN 连接 请 求 
包 , 使 客户 端 进入 SYN_SEND 状态 ,服务 器 接收 到 SYN 包 后 如 果 允 许 客户 端 连 接 将 发 
送 SYN_ACK 包 , 确 认 连 接 ,服务 器 端 进入 SYN_RCVD 状态 ,客户 端 接收 到 SYN_ACK 
包 后 发 送 一 个 确认 ACK 包 ,客户 端 进 入 ESTABLISHED 状态 ,服务 端 接收 到 该 ACK 包 
后 也 进入 ESTABLISHED 状态 ,此 即 TCP 协议 的 3 次 握手 过 程 ,连接 建立 后 就 可 以 进行 
TCP 数据 传输 了 。TCP 的 断 开 过 程 比较 复杂 ,这 里 只 描述 正常 断 开 过 程 , 其 他 如 同时 断 
开 、 异 常 断 开 等 可 按 图 8-6 同 理 分 析 。 正 常 断 开 是 连接 一 方 先 发 送 FIN 包 ( 连 接 双 方 都 可 
以 先 发 送 FIN 包 ), 为 叙述 方便 ,假设 是 服务 器 端 发 送 FIN 包 , 此 时 服务 器 端 进入 
FIN_WAIT_1 状 态 ,客户 端 接收 到 FIN 包 后 ,将 回应 一 个 ACK 包 , 客 户 端 进入 CLOSE_ 
WAIT 状态 ,服务 器 端 接收 到 此 ACK 包 后 进入 FIN_WAIT_2 状态 ,此 时 TCP 连接 属于 
半 关 闭 状 态 ,在 此 状态 下 服务 器 将 不 再 向 客户 端 发 送 数据 ,但 客户 端 仍然 可 以 向 服务 器 发 
送 数据 ,如 果 客 户 端 也 不 再 发 送 数据 ,将 发 送 FIN 包 , 客 户 端 进入 LASK_ACK 状态 , 服 
务 器 接收 到 客户 端的 FIN 包 后 发 送 一 个 ACK 包 确 认 ,服务 器 端 进入 TIME_WAIT 状 
态 , 客 户 端 收 到 此 ACK 包 后 进入 CLOSED 状态 ,客户 端 就 认为 TCP 连接 已 经 结束 ,而 服 
务 器 端 再 经 过 2 倍 MSL(Maximum Segment Lifetime) 超 时 后 进入 CLOSED 状态 ,连接 
断 开 ,在 这 段 过 程 中 各 种 TCP 实现 可 能 会 略 有 差异 ,MSL 时 间 也 可 能 有 差别 。 

从 以 上 的 TCP 连接 建立 和 断 开 描 述 中 可 以 看 出 ,第 一 ,TCP 连接 是 有 状态 的 ,连接 
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， 客 户 端的 状态 变迁 ; 


ee 正常 情况 


appl: 应 用 程序 执行 操作 引起 的 


， 服 务 器 端的 状态 变迁 ; 
变迁 ; 


recv: 接收 报 文 引起 的 状态 变迁 ; 


send: 状态 变迁 


发 送 的 报 文 。 
图 8-6 TCP 状态 转换 图 


进入 不 同 的 阶段 有 不 同 的 状态 ;第 二 ,TCP 连接 状态 的 转换 是 有 一 定 顺序 的 ,不 是 任意 改 
变 的 ;第 三 ,TCP 连接 过 程 中 客户 端 和 服务 端的 可 能 的 状态 是 有 区 别 的 ,如 客户 端 不 可 能 
进入 LISTEN 状态 ,服务 端 也 不 可 能 进入 SYN_SEND 状态 ;第 四 ,对 于 TCP 包 中 的 标 
志 , 有 些 标志 是 不 能 同时 存在 的 ,如 SYN 标志 不 可 能 和 FIN、RST、PSH 标志 同时 存在 ， 
如 同时 存在 必 是 伪造 包 , 非 正常 包 。 根据 以 上 原则 ,防火 墙 作 为 连接 双方 的 “旁观 者 ”, 就 
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可 以 判断 出 连接 双方 目前 处 于 何 种 状态 。 一 旦 发 现 所 发 送 包 和 状态 不 符 , 就 可 认为 是 状 
态 异 常 的 包 进 行 拒绝 ,而 不 必 再 对 IP 地 址 或 TCP 端口 进行 检查 ;对 于 一 些 端 口 扫 描 工 具 
进行 TCP 端口 扫描 时 不 再 发 送 SYN 包 , 而 是 相对 异常 的 一 些 TCP 标志 包 , 如 FIN、 
RST、SYN_FIN 等 ;而 防火 墙 对 于 一 个 新 TCP 连接 的 判断 是 从 SYN 包 开 始 的 ,一 旦 发 现 
这 些 包 不 属于 任何 已 经 建立 的 连接 ,就 可 将 其 作为 状态 异常 包 而 丢弃 。 

对 于 其 他 非 连 接 协 议 , 如 UDP、ICMP 等 协议 ,防火 墙 同样 也 会 建立 连接 来 进行 跟 
踪 。 对 于 UDP 协议 ,一方 发 出 UDP 包 后 ,如 DNS 请 求 ,防火 墙 会 将 从 目的 地 址 和 端口 
返回 的 、 到 达 源 地 址 源 端口 的 包 作为 状态 相关 的 包 而 允许 通过 ;对 于 ICMP 协议 ,如 ping 
(echo) 包 ,其 状态 相关 包 就 是 来 自 目 的 地 址 的 echo reply 包 , 而 没有 与 echo 包 对 应 的 
echo reply 包 则 认为 是 状态 非法 的 。 对 于 此 类 连接 ,防火 墙 中 的 连接 信息 中 的 超时 时 间 
就 要 比 TCP 连接 信息 中 的 超时 时 间 短 得 多 。 通 过 状态 检测 ,就 可 以 很 容易 实现 你 访问 别 
人 ,而 别人 不 能 访问 你 这 种 由 简单 包 过 滤 所 不 能 实现 的 功能 。 


区 7 防火墙 的 发 展 趋势 


随 着 新 的 网 络 技术 的 出 现 ,防火 墙 技术 呈现 以 下 新 的 发 展 。 

(1) 目前 防火 墙 在 安全 性 .效率 和 功能 方面 的 矛盾 还 是 比较 突出 。 防 火 墙 的 技术 结 
构 ,往往 是 安全 性 高 效率 就 低 ,效率 高 就 会 以 牺牲 安全 为 代价 。 未 来 的 防火 墙 要 求 是 高 安 
全 性 和 高 效率 。 使 用 专门 的 芯片 负责 访问 控制 功能 .设计 新 的 防火 墙 的 技术 架构 是 未 来 
防火 墙 的 方向 。 

(2) 数据 加 密 技术 的 使 用 ,使 合法 访问 更 安全 。 

(3) 混合 使 用 包 过 滤 技 术 ,代理 服务 技术 和 其 他 一 些 新 技术 。 

(4) 目前 ,人 们 正在 设计 新 的 IP 协议 IPv6( 也 被 称 为 IP version 6)。IP 协议 的 变化 
将 对 防火 墙 的 建立 与 运行 产生 深刻 的 影响 。 

(5) 分 布 式 防 火 墙 。 现 在 的 防火 墙 一 般 安放 在 网 络 的 边界 ,并 假设 内 部 网 络 中 的 所 
有 主机 是 可 信任 的 ,所 有 的 外 部 网 络 主机 是 不 可 信任 的 。 但 是 攻击 往往 是 从 内 部 发 起 的 ， 
所 以 不 是 所 有 的 内 部 主机 都 是 可 以 信任 的 ,因此 提出 了 分 布 式 防 火 墙 的 概念 。 分 布 式 防 
火 墙 是 指 那些 驻 留 在 网 络 中 主机 如 服务 器 或 台式 机 并 对 主机 系统 自身 提供 安全 防护 的 软 
件 产品 ;从 广义 来 讲 , 分 布 式 防火 墙 是 一 种 新 的 防火 墙 体系 结构 , 它 包 含 如 下 产品 。 

@ 网 络 防火 墙 : 即 传统 的 边界 防火 墙 , 用 于 内 部 网 与 外 部 网 之 间 进 行 访问 控制 。 包 
括 内 部 网 中 各 个 子 网 之 间 的 防火 墙 ,这 种 防火 墙 需 支 持 内 部 网 可 能 有 的 非 IP 协议 。 

@ 主机 防火 墙 : 对 网 络 中 的 服务 器 和 台式 机 进行 防护 ,需要 给 每 一 台 需 要 保护 的 主 
机 安装 防火 墙 ,这 些 主 机 的 物理 位 置 可 能 在 内 部 网 中 ,也 可 能 在 内 部 网 外 ,如 托管 服务 器 
或 移动 办 公 的 便携 机 。 

@ 中 心 管理 ;边界 防火 墙 只 是 网 络 中 的 单一 设备 ,管理 是 单一 的 。 对 分 布 式 防火 墙 
来 说 ,每 个 防火 墙 作 为 安全 监测 机 制 可 以 根据 安全 性 的 不 同 要 求 布置 在 网 络 中 的 任何 需 
要 的 位 置 上 ,但 总 体 安全 策略 又 是 统一 策划 和 管理 的 ,安全 策略 的 分 发 及 日 志 的 汇总 都 是 
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中 心 管理 应 具备 的 功能 。 中 心 管理 是 分 布 式 防火 墙 系 统 的 核心 和 重要 特征 之 一 。 
(6) 对 数据 包 的 全 方位 的 检查 。 不 仅 包括 数据 包头 的 信息 ,而 且 包 括 数据 包 的 内 容 
信息 , 查 出 恶意 行为 ,阻止 通过 。 


“8.8 本 章 小 结 


防火 墙 是 建立 在 内 外 网 络 边界 上 的 过 滤 封 锁 机 制 ,内 部 网 络 被 认为 是 安全 和 可 信赖 
的 ,而 外 部 网 络 (通常 是 Internet) 被 认为 是 不 安全 和 不 可 信赖 的 。 防 火 墙 的 作用 是 防止 
不 希望 的 ,未 经 授权 的 通信 进出 被 保护 的 内 部 网 络 ,通过 边界 控制 强化 内 部 网 络 的 安全 
政策 。 

防火 墙 的 主要 技术 有 包 过 滤 技 术 、 代 理 服 务 器 技术 、 应 用 网 关 技术 、 状 态 检 测 包 过 滤 
技术 ,现在 最 常用 的 是 状态 检测 包 过 滤 技 术 。 

防火 墙 的 体系 结构 有 双重 宿主 主机 体系 结构 ,被 屏蔽 主机 体系 结构 和 被 屏蔽 子 网 体 
系 结构 ,它们 都 有 各 自 的 优 缺 点 。 

保 侄 主机 位 于 内 部 网 络 的 最 外 层 , 像 堡垒 一 样 对 内 部 网 络 进 行 保护 。 在 防火 墙 体系 
中 ,堡垒 主机 要 高 度 暴露, 是 在 Internet 上 公开 的 ,是 网 络 上 最 容易 遭受 非法 入 侵 的 设备 。 
所 以 防火 墙 设计 者 和 管理 人 员 需 要 致力 于 堡垒 主机 的 安全 ,而 且 在 运行 期 间 对 堡垒 主机 
的 安全 给 予 特 别 的 注意 。 堡 又 主机 应 该 安装 在 不 传输 保密 信息 的 网 络 上 ,最 好 处 于 一 个 
独立 网 络 ,比如 DMZ。 

包 过 滤 式 的 防火 墙 会 检查 所 有 通过 的 数据 包头 部 的 信息 ,并 按照 管理 员 所 给 定 的 过 
滤 规 则 进行 过 滤 。 如 果 对 防火 墙 设 定 某 一 内 部 IP 地 址 不 能 访问 某 个 站 点 的 话 , 从 这 个 地 
址 来 的 到 某 个 站 点 的 信息 都 会 被 防火 墙 屏蔽 掉 。 在 配置 数据 包 过 滤 规 则 之 前 ,需要 明确 
要 允许 或 者 拒绝 什么 服务 ,并 且 需 要 把 策略 转换 成 为 针对 数据 包 的 过 滤 规 则 。 通 过 制定 
数据 包 过 滤 规 则 来 控制 哪些 数据 包 能 够 进入 或 者 流出 内 部 网 络 。 

状态 检测 防火 墙 对 每 个 合法 网 络 连 接 保 存 的 信息 包括 源 地 址 \ 目 的 地 址 ,协议 类 型 、 
协议 相关 信息 (如 TCP/UDP 协议 的 端口 ICMP 协议 的 ID 号 ) .连接 状态 (如 TCP 连接 
状态 ) 和 超时 时 间 等 ,防火 墙 把 这 些 信息 叫做 状态 。 通 过 状态 检测 ,可 实现 比 简单 包 过 滤 
防火 墙 具 有 更 大 的 安全 性 。 


习 题 


. 什么 是 防火 墙 ? 防火 墙 的 功能 有 哪些 ? 
. 防火墙 的 体系 结构 有 哪 几 种 ? 

. 堡垒 主机 的 构建 原则 是 什么 ? 

- 过 滤 规 则 如 何 制 定 ? 

. 堡垒 主机 的 日 志 如 何 保护 ? 

. 堡垒 主机 如 何 管理 ? 


Do 性 
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7. 代理 是 如 何 工 作 的 ? 

8. 状态 检测 是 如 何 工作 的 ? 

9. 复杂 协议 是 如 何 进行 状态 检测 的 ? 
10. 状态 检测 有 哪些 弱点 ? 
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本 章 要 点 : 

。 VPN 的 基本 概念 和 特点 

。 VPN 采用 的 主要 技术 ; 

。 第 二 层 VPN 协议 的 机 制 和 功能 ; 

。 第 三 层 的 一 种 VPN 协议 的 机 制 和 功能 。 


9 1 VPN 概述 


911 VPN 的 概念 


VPN 是 Virtual Private Network 的 缩写 ,是 将 物理 分 布 在 不 同 地 点 的 网 络 通过 公用 
骨干 网 ,尤其 是 Internet 连接 而 成 的 逻辑 上 的 虚拟 子 网 。 为 了 保障 信息 的 安全 ,VPN 技 
术 采 用 了 鉴别 ,访问 控制 ,保密 性 、 完 整 性 等 措施 ,以 防止 信息 被 泄露 , 自 改 和 复制 。 

V 即 Virtual, 是 针对 传统 的 企业 “专用 网 络 " 而 言 的。 传统 的 专用 网 络 往往 需要 建立 
自己 的 物理 专用 线路 ,使 用 昂贵 的 长 途 拨号 以 及 长 途 专 线 服务 ;而 VPN 则 是 利用 公共 网 
络 资源 和 设备 建立 一 个 逻辑 上 的 专用 通道 ,尽管 没有 自己 的 专用 线路 ,但 是 这 个 逻辑 上 的 
专用 通道 却 可 以 提供 和 专用 网 络 同样 的 功能 。 换 言 之 ,VPN 虽然 不 是 物理 上 真正 的 专用 
网 络 , 但 却 能 够 实现 物理 专用 网 络 的 功能 。 

P 即 Private, 表 示 VPN 是 被 特定 企业 或 用 户 私有 的 ,并 不 是 任何 公共 网 络 上 的 用 户 
都 能 够 使 用 已 经 建立 的 VPN 通道 ,而 是 只 有 经 过 授权 的 用 户 才 可 以 使 用 。 在 该 通道 内 
传输 的 数据 经 过 了 加 密 和 认证 ,使 得 通信 内 容 既 不 能 被 第 三 者 修改 ,又 无 法 被 第 三 者 破 
解 ,从 而 保证 了 传输 内 容 的 完整 性 和 机 密 性 。 因 此 ,只 有 特定 的 企业 和 用 户 群 体 才能 够 利 
用 该 通道 进行 安全 的 通信 。 

N 即 Network, 表 示 这 是 一 种 专门 的 组 网 技术 和 服务 ,企业 为 了 建立 和 使 用 VPN 必 
须 购买 和 配备 相应 的 网 络 设 备 。 


912 VPN 的 类 型 


VPN 有 3 种 类 型 :Access VPN( 远 程 访问 VPN)、Intranet VPN( 企 业内 部 VPN) 和 
Extranet VPN( 企 业 扩 展 VPN) ,这 3 种 类 型 的 VPN 分 别 对 应 于 传统 的 远程 访问 网 络 、 
企业 内 部 的 Intranet 以 及 企业 和 合作 伙伴 的 网 络 所 构成 的 Extranet。 
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1. Access VPN 

Access VPN 即 所 谓 的 移动 VPN, 适 用 于 企业 内 部 人 员 流 动 频繁 或 远程 办 公 的 情况 ， 
出 差 员工 或 者 在 家 办 公 的 员工 利用 当地 ISP(Internet Service Provider, Internet 服务 提 
供 商 ) 就 可 以 和 企业 的 VPN 网 关 建 立 私 有 的 隧道 连接 ,如 图 9-1 所 示 。 


Internet 


总 部 网 关 总 部 
家 庭 办 公 


图 9-1 Access VPN 


Access VPN 对 应 于 传统 的 远程 访问 内 部 网 络 。 在 传统 方式 中 ,在 企业 网 络 内 部 需 
要 架设 一 个 拨号 服务 器 作为 RAS(Remote Access Server) ,用 户 通过 拨号 到 该 RAS 来 访 
问 企业 内 部 网 。 这 种 方式 需要 购买 专门 的 RAS 设备 ,价格 昂贵 ,用 户 只 能 进行 拨号 ,也 不 
能 保证 通信 安全 ,而 且 对 于 远程 用 户 可 能 要 支付 昂贵 的 长 途 拨号 费用 。 

Access VPN 通过 拨 入 当地 的 ISP 进入 Internet 再 连接 企业 的 VPN 网 关 , 在 用 户 和 
VPN 网 关 之 间 建立 一 个 安全 的 “隧道 ", 通 过 该 隧道 安全 地 访问 远程 的 内 部 网 ,这 样 既 节 
省 了 通信 费用 ,又 能 保证 安全 性 。 

Access VPN 的 拨 入 方式 包括 拨号 ISDN ,数字 用 户 线路 (xDSL) 等 ,唯一 的 要 求 就 是 
能 够 使 用 合法 IP 地 址 访问 Internet, 具 体 何 种 方式 没有 关系 。 通 过 这 些 灵活 的 拨 入 方式 
能 够 让 移动 用 户 、 远 程 用 户 或 分 支 机 构 安 全 地 接 入 到 内 部 网 络 。 


2 Intranet VPN 
如 果 要 进行 企业 内 部 异地 分 支 机 构 的 互联 ,可 以 使 用 Intranet VPN 方式 ,这 是 所 谓 
的 网 关 对 网 关 VPN , 它 对 应 于 传统 的 Intranet 解决 方案 ,如 图 9-2 所 示 。 


Internet 
分 部 分 部 网 关 总 部 网 关 总 部 
9-2 Intranet VPN 


Intranet VPN 在 异地 两 个 网 络 的 网 关 之 间 建立 了 一 个 加 密 的 VPN 隧道 ,两 端的 内 
部 网 络 可 以 通过 该 VPN 隧道 安全 地 进行 通信 ,就 好 像 和 本 地 网 络 通信 一 样 。 
Intranet VPN 利用 公共 网 络 (如 Internet) 的 基础 设施 ,连接 企业 总 部 .远程 办 事 处 和 
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分 支 机 构 。 企 业 拥 有 与 专用 网 络 相 同 的 策略 ,包括 安全 、 服 务 质量 (QoS) .可 管理 性 和 可 
靠 性 。 

3 Bdranet VPN 

如 果 一 个 企业 希望 将 客户 、 供 应 商 , 合 作 伙 伴 或 兴趣 群体 连接 到 企业 内 部 网 ,可 以 使 
用 Extranet VPN, 它 对 应 于 传统 的 Extranet 解决 方案 ,如 图 9-3 所 示 。 


Internet 


分 部 总 部 网 关 总 部 


图 9-3 Extranet VPN 


Extranet VPN 其 实 也 是 一 种 网 关 对 网 关 的 VPN ,与 Intranet VPN 不 同 的 是 , 它 需 
要 在 不 同 企业 的 内 部 网 络 之 间 组 建 ,需要 有 不 同 协 议和 设备 之 间 的 配合 和 不 同 的 安全 
配置 。 


913 ”VPN 的 优点 


VPN 具有 以 下 优点 。 

(1) 降低 成 本 

VPN 是 利用 了 现 有 的 Internet 或 其 他 公共 网 络 的 基础 设施 为 用 户 创建 安全 隧道 ,不 
需要 使 用 专门 的 线路 ,如 DDN 和 PSTN ,这 样 就 节省 了 专门 线路 的 租金 。 如 果 是 采用 远 
程 拨号 进入 内 部 网 络 ,访问 内 部 资源 ,还 需要 支付 长 途 话费 ;而 采用 VPN 技术 ,只 需 拨 入 
当地 的 ISP 就 可 以 安全 地 接 人 内 部 网 络 ,这 样 也 节省 了 线路 话费 。 

(2) 易于 扩展 

如 果 采 用 专线 连接 ,实施 起 来 比较 困难 ,在 分 部 增多 、 内 部 网 络 结 点 越 来 越 多 时 ,网 络 
结构 趋 于 复杂 ,费用 昂贵 。 如 果 采 用 VPN, 只 是 在 结 点 处 架设 VPN 设备 ,就 可 以 利用 
Internet 建立 安全 连接 ,如 果 有 新 的 内 部 网 络 想 加 入 安全 连接 ,只 需 添加 一 台 VPN 设备 ， 
改变 相关 配置 即 可 。 

(3) 保证 安全 

VPN 技术 利用 可 靠 的 加 密 认 证 技术 ,在 内 部 网 络 之 间 建 立 隧道 ,能 够 保证 通信 数据 
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的 机 密 性 和 完整 性 ,保证 信息 不 被 泄露 或 暴露 给 未 授权 的 实体 ,保证 信息 不 被 未 授权 的 实 
体 改 变 、 删 除 或 替代。 在 现在 的 网 络 应 用 中 ,除了 让 外 部 合法 用 户 通 过 VPN 访问 内 部 资 
源 外 ,还 需要 内 部 用 户 方便 地 访问 Internet, 这 样 可 将 VPN 设备 和 防火 墙 配合 ,在 保证 网 
络 畅通 的 情况 下 , 尽 可 能 地 保证 访问 安全 。 


9.2 VPN 技术 


921 密码 技术 


VPN 利用 Internet 的 基础 设施 传输 企业 私有 的 信息 ,因此 传递 的 数据 必须 经 过 加 
密 , 从 而 确保 网 络 上 未 授权 的 用 户 无 法 读 取 该 信息 ,因此 ,可 以 说 密码 技术 是 实现 VPN 
的 关键 核心 技术 之 一 。 

大 体 上 ,密码 技术 可 以 分 为 两 类 :对 称 密 钥 加 密 和 非 对 称 密 钥 加 密 。 


1 对 称 密 钥 加 密 

对 称 密 钥 加 密 , 也 叫做 共享 密 钥 加 密 , 是 指 加 密 和 解密 用 的 密 钥 是 相同 的 ,数据 的 发 
送 者 和 接收 者 拥有 共同 的 单个 密 钥 。 当 一 段 数据 要 传输 时 ,发 送 者 利用 密 钥 将 其 加 密 为 
密 文 ,并 在 公共 信道 上 传输 ,接收 者 收 到 密 文 后 也 要 用 相同 的 密 钥 将 其 解密 成 明文 。 

比较 著名 的 对 称 密 钥 加 密 算 法 有 DES 及 其 各 种 变形 ,比如 3DES、GDES、New DES 和 
DES 的 前 身 Lucifer、IDEA、Skipjack、RC4、RC5 等 。 众 多 算法 中 最 常用 的 是 DES (Data 
Encryption Standard)、 AES (Advanced Encryption Standard) 和 IDEA (International Data 
Encryption Algorithm) 。 

由 于 加 密 和 解密 的 密 钥 相同 ,因此 这 种 加 密 算法 的 安全 性 取决 于 是 否 有 未 经 授权 的 
人 获得 了 密 钥 。 一 旦 密 钥 泄露 ,无 论 该 算法 在 运行 时 多 么 复杂 ,设计 多 么 精良 , 密 文 可 以 
轻易 地 被 破解 。 为 了 保证 密 钥 的 机 密 性 ,希望 使 用 对 称 密 钥 加 密 通 信 的 双方 ,在 交换 加 密 
数据 之 前 必须 先 安全 地 交换 密 钥 。 

衡量 对 称 算 法 优 劣 的 一 个 重要 尺度 是 其 密 钥 的 长 度 。 密 钥 位 数 越 长 , 密 钥 的 可 能 性 
越 多 ,在 找到 正确 密 钥 之 前 必须 测试 的 密 钥 数量 就 越 多 ,从 而 破解 这 种 算法 就 越 困 难 。 另 
一 个 指标 是 看 算法 是 否 经 得 住 算法 分 析 的 考验 ,如 差分 密码 分 析 、 线 性 密码 分 析 等 ,有 的 
算法 的 密 钥 长 度 虽然 很 长 ,但 算法 有 缺陷 ,可 绕 过 密 钥 进行 破解 。 

对 称 密 钥 加 密 的 优点 是 运算 量 小 、 速 度 快 ,适合 于 加 密 大 量 数据 的 情况 ;缺点 是 密 钥 
的 管理 比较 复杂 。 


2 非 对 称 密 钥 加 密 
非 对 称 密 钥 加 密使 用 两 个 密 钥 :一 个 公 钥 和 一 个 私 钥 ,这 两 个 密 钥 在 数学 上 是 相关 
的 。 这 种 算法 也 叫做 公 钥 加 密 。 公 钥 可 以 不 受 保护 ,可 在 通信 双方 之 间 公 开 传递 ,或 在 公 
共 网 络 上 发 布 ,但 相关 的 私 钥 是 保密 的 。 利 用 公 钥 加 密 的 数据 只 有 使 用 私 钥 才能 解密 ; 利 
用 私 钥 加 密 的 数据 只 有 使 用 公 钥 才能 解密 。 
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比较 著名 的 非 对 称 算法 有 RSA ,背包 密码 McEliece 密码 .Diffie-Hellman、Rabin、 杭 
圆 曲线 `ElGamal 算法 等 。 其 中 最 有 影响 的 是 RSA 算法 , 它 能 抵抗 到 目前 为 止 已 知 的 所 
有 密码 攻击 。 

非 对 称 算法 采用 复杂 的 数学 处 理 , 密 钥 大 小 比 对 称 算法 的 大 ,它们 要 求 更 多 的 处 理 器 
资源 ,因此 其 速度 较 慢 。 非 对 称 算法 不 适合 加 密 大 量 数据 的 情况 ,而 是 经 常用 于 关键 数据 
的 加 密 ,比如 对 称 密 钥 在 密 钥 分 发 时 采用 非 对 称 算法 。 另 外 非 对 称 加 密 算法 和 散 列 算法 
结合 使 用 ,可 以 生成 数字 签名 。 

非 对 称 密 钥 加 密 的 优点 是 解决 了 对 称 加 密 中 的 密 钥 交换 的 困难 , 密 钥 管理 简单 ,安全 
性 高 ;缺点 是 计算 速度 相对 较 慢 。 因 此 非 对 称 密 钥 加 密 更 多 用 于 密 钥 交 换 ,数字 签名 、 身 
份 认 证 等 ,一 般 不 用 于 对 具体 信息 加 密 。 

一 般 来 说 ,在 VPN 实现 中 ,双方 大 量 的 通信 流量 的 加 密使 用 对 称 加 密 算法 ,而 在 管 
理 、 分 发 对 称 加 密 的 密 钥 上 采用 更 加 安全 的 非 对 称 加 密 技 术 。 


922 身份 认证 技术 


VPN 需要 解决 的 首要 问题 就 是 网 络 上 用 户 与 设备 的 身份 认证 ,如 果 没 有 一 个 万 无 一 
失 的 身份 认证 方案 ,不 管 其 他 安全 设施 有 多 严密 ,整个 VPN 的 功能 都 将 失效 。 

从 技术 上 说 ,身份 认证 基本 上 可 以 分 为 两 类 : 非 PKI 体系 和 PKI 体系 的 身份 认证 。 
非 PKI 体系 的 身份 认证 基本 上 采用 的 是 UID 十 PASSWORD 模式 ,举例 如 下 : 

。 PAP,Password Authentication Protocol, 口 令 认证 协议 ; 

。 CHAP,Challenge-Handshake Authentication Protocol, 询 问 握手 认证 协议 ; 

。 EAP,Extensible Authentication Protocol, 扩 展 身份 认证 协议 ; 

。 MS-CHAP, Microsoft Challenge Handshake Authentication Protocol, 微软 询问 

握手 认证 协议 ; 

。 SPAP,Shiva Password Authentication Protocol, Shiva 口令 字 认 证 协议 ; 

。 RADIUS,Remote Authentication Dial In User Service, 和 远程 认定 拨号 用 户 服务 。 

PKI 体系 的 身份 认证 的 例子 有 电子 商务 中 用 到 的 SSL 安全 通信 协议 的 身份 认证 、 
Kerberos 等 。 目 前 常用 的 方法 是 依赖 于 CA(Certificate Authority ,数字 证 书签 发 中 心 ) 
所 签发 的 符合 X. 509 规范 的 标准 数字 证 书 。 通 信和 双方 交 换 数据 前 , 需 先 确认 彼此 的 身 
份 ,交换 彼此 的 数字 证 书 , 双 方 将 此 证 书 进行 比较 ,只 有 比较 结果 正确 ,双方 才 开 始 交 换 数 
据 ;否则 ,不 能 进行 后 续 通 信 。 


923 隧道 技术 


隧道 技术 通过 对 数据 进行 封装 ,在 公共 网 络 上 建立 一 条 数据 通道 (隧道 ) ,让 数据 包 通 
过 这 条 隧道 传输 。 生 成 隧道 的 协议 有 两 种 :第 二 层 隧 道 协 议和 第 三 层 隧道 协议 。 
(1) 第 二 层 隧道 协议 是 在 数据 链 路 层 进 行 的 , 先 把 各 种 网 络 协议 封装 到 PPP 包 中 ， 
再 把 整个 数据 包装 人 隧道 协议 中 ,这 种 经 过 两 层 封装 的 数据 包 由 第 二 层 协 议 进 行 传输 。 
第 二 层 隧道 协议 有 以 下 几 种 : 
。 L2F(RFC 2341,Layer 2 Forwarding); 
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*。 PPTP(RFC 2637, Point-to-Point Tunneling Protocol) ; 

。 L2TP(RFC 2661,Layer Two Tunneling Protocol) 。 

(2) 第 三 层 隧 道 协议 是 在 网 络 层 进行 的 ,把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ,形成 
的 数据 包 依 靠 第 三 层 协 议 进行 传输 。 第 三 层 隧道 协议 有 以 下 几 种 ， 

"IPSec(IP Security) ,是 目前 最 常用 的 VPN 解决 方案 ; 

。 GRE(RFC 2784,General Routing Encapsulation) 。 


924 密 钥 管理 技术 


在 VPN 应 用 中 密 钥 的 分 发 与 管理 非常 重要 。 密 钥 的 分 发 有 两 种 方法 :一 种 是 通过 
手工 配置 的 方式 , 另 一 种 是 采用 密 钥 交 换 协议 动态 分 发 。 手 工 配置 的 方法 要 求 密 钥 更 新 
不 要 太 频 繁 ,否则 管理 工作 量 太 大 ,因此 只 适合 于 简单 网 络 的 情况 。 密 钥 交 换 协议 采用 软 
件 方式 动态 生成 密 钥 ,保证 密 钥 在 公共 网 络 上 安全 地 传输 而 不 被 窃取 ,适合 于 复杂 网 络 的 
情况 ,而 且 密 钥 可 快速 更 新 ,可 以 显著 提高 VPN 应 用 的 安全 性 。 目 前 主要 的 密 钥 交换 与 
管理 标准 有 SKIP (Simple Key Management for IP) 和 ISAKMP (Internet Security 
Association and Key Management Protocol, Internet 安全 联盟 和 密 钥 管理 协议 ， 
RFC2408)/Oakley( RFC2412).。 

SKIP 是 由 SUN 所 发 展 的 技术 ,主要 利用 Diffie-Hellman 算法 在 网 络 上 传输 密 钥 。 
在 ISAKMP/Oakley 中 ,Oakley 定义 如 何 辨认 及 确认 密 钥 ,ISAKMP 定义 分 配 密 钥 的 
方法 。 


9.3 第 二 层 隧 道 协 议 一 一 L2F、PPTP 和 L2TP 


第 二 层 隧 道 协 议 用 于 传输 第 二 层 网 络 协议 , 它 主要 应 用 于 构建 Access VPN。 
第 二 层 隧道 协议 主要 有 3 种 :一 种 是 由 Cisco、Nortel 等 公司 支持 的 L2F 协议 ,Cisco 路 由 
器 中 支持 此 协议 ; 另 一 种 是 Microsoft、Ascend、3COM 等 公司 支持 的 PPTP 协议 ， 
Windows NT 4.0 以 上 版 本 中 支持 此 协议 ;而 成 为 二 层 隧 道 协议 工业 标准 的 是 由 IETF 起 
草 并 由 Microsoft、Ascend、Cisco、3COM 等 公司 参与 制定 的 L2TP 协议 , 它 结 合 了 上 述 两 
个 协议 的 优点 。 这 一 节 分 别 讨论 这 3 个 协议 。 

在 具体 讨论 协议 之 前 , 先 看 一 下 隧道 技术 中 的 几 个 基本 概念 。 


931 隧道 协议 的 基本 概念 


无 论 何 种 隧道 协议 ,其 数据 包 格 式 都 是 由 乘客 协议 .封装 协议 和 传输 协议 3 部 分 组 成 
的 。 下 面 以 L2TP 为 例 ,如 图 9-4 所 示 ,看 一 下 隧道 协议 的 组 成 。 


IP UDP L2TP PPP( 数 据 ) 
传输 协议 封装 协议 乘客 协议 


图 9-4 隧道 协议 的 封装 
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(1) 乘客 协议 :乘客 协议 是 指 用 户 要 传输 的 数据 ,也 就 是 被 封装 的 数据 ,它们 可 以 是 
IP、PPP、SLIP 等 。 这 是 用 户 真正 要 传输 的 数据 ,如 果 是 IP 协议 ,其 中 包含 的 地 址 有 可 能 
是 保留 IP 地址。 

(2) 封装 协议 :封装 协议 用 于 建立 ,保持 和 拆 印 隧道 。 即 将 讨论 的 L2F、PPTP、 
L2TP、GRE 就 属于 封装 协议 。 

(3) 传输 协议 :乘客 协议 被 封装 之 后 应 用 传输 协议 ,图 9-4 中 使 用 UDP 协议 对 L2TP 
协议 数据 包 进 行 了 封装 。 

为 了 理解 隧道 ,不 妨 用 邮政 系统 打 个 比方 。 乘 客 协 议 就 是 我 们 写 的 信 , 信 的 语言 可 以 
是 汉语 、 英 语法 语 等 ,具体 如 何 解释 由 写 信 人 、 读 信人 自己 负责 ,这 就 对 应 于 多 种 乘客 协 
议 ,对 乘客 协议 数据 的 解释 由 隧道 双方 负责 。 封 装 协议 就 是 信封 ,可 能 是 平 信 挂号 或 者 
是 EMS, 这 对 应 于 多 种 封装 协议 ,每 种 封装 协议 的 功能 和 安全 级 别 有 所 不 同 。 传 输 协 议 
就 是 信 的 运输 方式 ,可 以 是 陆运 ,海运 或 者 空运 ,这 对 应 于 不 同 的 传输 协议 。 

根据 隧道 的 端点 是 用 户 计算 机 还 是 拨号 接 人 服务 器 ,隧道 可 以 分 为 两 种 :自愿 隧道 
(Voluntary Tunnel) 和 强制 隧道 (Compulsory Tunnel) 。 


1 自愿 隧道 

客户 端 计算 机 可 以 通过 发 送 VPN 请 求 来 配置 和 创建 一 条 自愿 隧道 ,此 时 用 户 端 计 
算 机 作为 隧道 的 客户 方 成 为 隧道 的 一 个 端点 。 为 了 创建 自愿 隧道 ,工作 站 或 路 由 器 上 必 
须 安装 隧道 客户 软件 ,并 创建 到 目标 隧道 服务 器 的 虚拟 连接 。 目 前 ,自愿 隧道 是 最 普遍 使 
用 的 隧道 类 型 。 

创建 自愿 隧道 的 前 提 是 客户 端 和 服务 器 之 间 要 有 一 条 IP 连接 (通过 局 域 网 或 拨号 线 
路 )。 使 用 拨号 方式 时 ,客户 端 必须 在 建立 隧道 之 前 创建 与 Internet 的 拨号 连接 。 一 个 最 
典型 的 例子 是 Internet 拨号 用 户 必须 在 创建 Internet 隧道 之 前 拨 通 本 地 ISP, 以 取得 与 
Internet 的 连接 。 

一 种 误解 认为 VPN 只 能 使 用 拨号 连接 ,其 实 ,建立 VPN 只 要 求 IP 网 络 的 支持 即 
可 。 一些 客户 机 (如 家 用 PC) 可 以 通过 使 用 拨号 方式 连接 Internet 建立 IP 传输 ,这 只 是 
为 创建 隧道 所 做 的 初步 准备 ,本 身 并 不 属于 隧道 协议 。 


2 强制 隧道 

强制 隧道 由 支持 VPN 的 拨号 接 人 服务 器 来 配置 和 创建 。 此 时 ,用 户 端的 计算 机 不 
作为 隧道 端点 ,而 是 由 位 于 客户 计算 机 和 隧道 服务 器 之 间 的 拨号 接 人 服务 器 作为 隧道 客 
户 端 ,成 为 隧道 的 一 个 端点 。 

能 够 代替 客户 端 计算 机 来 创建 隧道 的 网 络 设备 包括 支持 PPTP 协议 的 FEP(Front- 
End Processor, 前 端 处 理 器 ) 支持 L2TP 协议 的 LAC(L2TP Access Concentrator,L2TP 
接 入 集中 器 ) 或 支持 IPSec 的 安全 IP 网 关 。 为 正常 地 发 挥 功 能 ,FEP 必须 安装 适当 的 隧 
道 协议 ,同时 必须 能 够 在 客户 计算 机 建立 起 连接 时 创建 隧道 。 

以 Internet 为 例 ,客户 机 向 位 于 本 地 ISP 的 能 够 提供 隧道 技术 的 NASCNetwork 
Access Server) 发 出 拨号 呼叫 ,例如 ,企业 可 以 与 某 个 ISP 签订 协议 ,由 ISP 为 企业 在 全 国 
范围 内 设置 一 套 FEP, 这 些 FEP 可 以 通过 Internet 创建 一 条 到 隧道 服务 器 的 隧道 ,隧道 
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服务 器 与 企业 的 专用 网 络 相连 。 这 样 ,就 可 以 将 不 同 地 方 合 并 成 企业 网 络 端的 一 条 单一 
的 Internet 连接 。 
因为 客户 只 能 使 用 由 FEP 创建 的 隧道 ,所 以 称 为 强制 隧道 。 一 旦 最 初 的 连接 成 功 ， 
所 有 客户 端的 数据 流 将 自动 通过 隧道 发 送 。 使 用 强制 隧道 ,客户 端 计算 机 建立 单一 的 
PPP 连接 , 当 客户 氢 入 NAS 时 ,一 条 隧道 将 被 创建 ,所 有 的 数据 流 自 动 通过 该 隧道 路 由 。 
可 以 配置 FEP 为 所 有 的 拨号 客户 创建 到 指定 隧道 服务 器 的 隧道 ,也 可 以 配置 FEP 基于 
不 同 的 用 户 名 或 目的 地 创建 不 同 的 隧道 。 

自愿 隧道 技术 为 每 个 客户 创建 独立 的 隧道 ,而 强制 隧道 中 FEP 和 隧道 服务 器 之 间 建 
立 的 隧道 可 以 被 多 个 拨号 客户 共享 ,而 不 必 为 每 个 客户 建立 一 条 新 的 隧道 。 因 此 ,一 条 隧 
道中 可 能 会 传递 多 个 客户 的 数据 信息 ,只 有 在 最 后 一 个 隧道 用 户 断 开 连 接 之 后 才 终 止 整 
条 隧道 。 


932  LF 


L2F(Layer Two Forwarding Protocol, 二 层 转发 协议 ) 是 由 Cisco 公司 提出 的 隧道 技 
术 , 可 以 支持 多 种 传输 协议 ,如 IP.、ATM、 帧 中 继 。 

首先 , 远 端 用 户 通过 任何 拨号 方式 接 入 公共 IP 网 络 , 例 如 , 按 常规 方式 拨号 到 ISP 的 
NAS, 建 立 PPP 连接 ;然后 ,NAS 根据 用 户 名 等 信息 ,发 起 第 二 重 连接 , 通 向 企业 的 本 地 
L2F 网 关 服 务 器 ,这 个 L2F 服务 器 把 数据 包 解 包 之 后 发 送 到 企业 内 部 网 上 。 

在 L2F 中 ,隧道 的 配置 和 建立 对 用 户 是 完全 透明 的 ,L2F 没有 确定 的 客户 方 。 


933 PPTP 


PPTP(Point-to-Point Tunneling Protocol, 点 到 点 隧道 协议 ) 在 RFC 2637 中 定义 ,该 
协议 将 PPP 数据 包 封 装 在 IP 数据 包 内 通过 IP 网 络 ( 如 Internet 或 Intranet) 进行 传送 。 
PPTP 协议 可 看 作 PPP 协议 的 一 种 扩展 , 它 提供 了 一 种 在 Internet 上 建立 多 协议 的 VPN 
的 通信 方式 , 远 端 用 户 能 够 通过 任何 支持 PPTP 的 ISP 访问 公司 的 专用 网 络 。 

PPTP 协议 提供 了 PPTP 客户 端 和 PPTP 服务 器 之 间 的 加 密 通 信 。PPTP 客户 端 是 
指 运行 了 PPTP 协议 的 PC, 如 支持 该 协议 的 Windows 客户 机 ;PPTP 服务 器 是 指 运行 该 
协议 的 服务 器 ,如 支持 该 协议 的 Windows NT 服务 器 。PPTP 客户 端 和 服务 器 进行 VPN 
通信 的 前 提 是 两 者 之 间 有 连通 且 可 用 的 IP 网 络 , 也 就 是 说 PPTP 客户 端 必须 能 够 通过 
IP 网 络 访问 PPTP 服务 器 。 如 果 PPTP 客户 端 是 通过 拨号 上 网 , 则 要 先 拨号 到 本 地 的 
ISP 建立 PPP 连接 ,从 而 可 以 访问 Internet。 如 果 PPTP 客户 端 直接 连接 到 IP 网 络 , 即 
可 直接 通过 该 IP 网 络 与 PPTP 服务 器 取得 连接 。 

PPTP 客户 端 和 服务 器 之 间 的 报 文 有 两 种 :控制 报 文 负责 PPTP 隧道 的 建立 、 维 护 和 
断 开 ; 数 据 报 文 负责 传输 用 户 的 真正 数据 。 


1 控制 报 文 
PPTP 客户 端 “ 拨 号 ?到 PPTP 服务 器 创建 PPTP 隧道 ,这 里 的 “拨号 ?并 不 是 拨 服 务 
器 的 电话 号 码 ,而 是 连接 PPTP 服务 器 的 TCP 1723 端口 建立 控制 连接 。 控 制 连接 负责 
隧道 的 建立 、 维 护 和 断 开 。PPTP 控制 连接 携带 PPTP 呼叫 控制 和 管理 信息 ,用 于 维护 
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PPTP 隧道 ,其 中 包括 周期 性 地 发 送 回 送 请 求 和 回 送 应 答 报 文 ,以 期 检测 出 客户 机 与 服务 
器 之 间 可 能 出 现 的 连接 中 断 。PPTP 控制 连接 数据 包 包括 一 个 IP 报头 、 一 个 TCP 报头 
和 PPTP 控制 信息 ,如 图 9-5 所 示 。 


Data-link PPTP Control Data-link 
IP TCP 
Header Message Trailer 


图 9-5 PPTP 控制 报 文 


在 创建 基于 PPTP 的 VPN 连接 过 程 中 ,使 用 的 认证 机 制 与 创建 PPP 连接 时 相同 。 
此 类 认证 机 制 主要 有 EAP、MS-CHAP、CHAP.、SPAP 和 PAP。 

PPTP 继承 PPP 有 效 载荷 的 加 密 和 压缩 。 在 Windows 2000 中 ,由 于 PPP 帧 使 用 
MPPE(Microsoft Point-to-Point Encryption ,微软 点 对 点 加 密 技 术 ) 进 行 加 密 , 因 此 认证 
机 制 必须 采用 EAP 或 MS-CHAP。 


2 数据 报 文 

在 隧道 建 好 之 后 ,真正 的 用 户 数 据 经 过 加 密 和 /或 压缩 之 后 ,再 依次 经 过 PPP、GRE、 
IP 的 封装 最 终 得 到 一 个 IP 包 , 如 图 9-6 所 示 , 通 过 IP 网 络 发 送 到 PPTP 服务 器 ;PPTP 
服务 器 收 到 该 IP 后 层 层 解 包 ,得 到 真正 的 用 户 数据 ,并 将 用 户 数 据 转 发 到 内 部 网 络 上 。 
用 户 的 数据 可 以 是 多 种 协议 ,比如 IP 数据 包 、IPX 数据 包 或 者 NetBEUI 数据 包 。PPTP 
采用 RSA 公司 的 RC4 作为 数据 加 密 算法 ,保证 了 隧道 通信 的 安全 性 。 


Encrypted PPP Payload (IP 
Data-link Pp GRE ee a 和 es Data-link 
Header Header Header Header rd Trailer 
NetBEUI Frame) 


图 9-6 PPTP 数据 报 文 


与 L2F 相 比 ,PPTP 把 建立 隧道 的 主动 权 交 给 了 用 户 ,但 用 户 需 要 在 其 PC 机 上 配置 
PPTP, 这 样 不 仅 增加 了 用 户 的 工作 量 , 而 且 造成 网 络 的 安全 隐患 。 另 外 ,PPTP 只 支持 
IP 作为 其 传输 协议 。 


934 L2TP 


L2TP(Layer Two Tunneling Protocol ,第 二 层 隧 道 协议 ) 由 RFC 2661 定义 , 它 结合 
了 L2F 和 PPTP 的 优点 ,可 以 让 用 户 从 客户 端 或 访问 服务 器 端 发 起 VPN 连接 。L2TP 
是 由 Cisco、Ascend、Microsoft 等 公司 在 1999 年 联合 制定 的 ,已 经 成 为 二 层 隧道 协议 的 工 
业 标 准 ,并 得 到 了 众多 网 络 厂商 的 支持 。 

L2TP 协议 支持 IP、X. 25 、 帧 中 继 或 ATM 等 作为 传输 协议 ,但 目前 仅 定义 了 基于 IP 
网 络 的 L2TP。L2TP 隧道 协议 可 用 于 Internet, 也 可 用 于 其 他 企业 专用 Intranet 中 。 

L2TP 客户 端 是 使 用 L2TP 隧道 协议 和 IPSec 安全 协议 的 VPN 客户 端 ,而 L2TP 服 
务 器 是 使 用 L2TP 隧道 协议 和 IPSec 安全 协议 的 VPN 服务 器 。 客 户 端 和 服务 器 进行 
VPN 通信 的 前 提 是 两 者 之 间 有 连通 且 可 用 的 IP 网 络 , 也 就 是 说 ,L2TP 客户 端 必须 可 以 
通过 IP 网 络 访问 L2TP 服务 器 。 如 果 L2TP 客户 端 是 通过 拨号 上 网 , 则 要 先 拨号 到 本 地 
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的 ISP 建立 PPP 连接 ,从 而 访问 Internet。 如 果 L2TP 客户 端 直接 连接 到 IP 网 络 , 即 可 
直接 通过 该 IP 网 络 与 L2TP 服务 器 取得 连接 。 

在 介绍 L2TP 客户 端 和 服务 器 之 间 通 信 的 整个 流程 之 前 ,需要 首先 了 解 下 列 术语 。 

(1) LAC:L2TP Access Concentrator,L2TP 访问 集中 器 ,是 附属 在 交换 网 络 上 的 具 
有 PPP 端 系 统 和 L2TP 协议 处 理 能 力 的 设备 ,LAC 一 般 就 是 一 个 NAS(Network Access 
Server, 网 络 接 入 服务 器 ) , 它 为 用 户 通过 PSTNVISDN 提供 网 络 接 人 服务 。 

(2) LNS:L2TP Network Server，L2TP 网 络 服务 器 ,是 PPP 端 系统 上 用 于 处 理 
L2TP 协议 服务 器 端 部 分 的 软件 。 

L2TP 主要 由 LAC 和 LNS 构成 ,LAC 支持 客户 端的 L2TP, 它 用 于 发 起 呼叫 ,接收 
呼叫 和 建立 隧道 ;LNS 是 所 有 隧道 的 终点 。 在 传统 的 PPP 连接 中 ,用 户 拨号 连接 的 终点 
是 LAC,L2TP 使 得 PPP 协议 的 终点 延伸 到 LNS。 

L2TP 隧道 的 建立 过 程 如 图 9-7 所 示 , 具 体 描 述 如 下 。 

1. 用 户 认证 


2. 建立 隧道 


5. 端 到 端 PPP 会 话 


3. 用 户 认 证 
认证 服务 器 


图 9-7 L2TP 的 连接 过 程 


(1) 用 户 通过 PSTN/ISDN 拨号 至 本 地 的 接 人 服务 器 LAC;LAC 接收 呼叫 并 进行 基 
本 的 辨别 ,这 一 过 程 可 以 采用 几 种 标准 ,如 使 用 域名 识别 .呼叫 线路 识别 (CLID) 或 拨号 
ID 业务 (DNIS) 等 。 

(2) 当 用 户 被 确认 为 合法 企业 用 户 时 ,就 建立 一 个 通 向 LNS 的 拨号 VPN 隧道 。 

(3) 企业 内 部 的 安全 服务 器 如 TACACS 十 ,RADIUS 鉴定 拨号 用 户 。 

(4) LNS 与 远程 用 户 交换 PPP 信息 ,分配 IP 地 址 。LNS 可 采用 企业 专用 地 址 (未 注 
册 的 IP 地址) 或 服务 提供 商 提 供 的 地 址 空间 分 配 IP 地 址 。 因 为 内 部 源 IP 地 址 与 目的 地 
IP 地 址 实际 上 都 通过 服务 提供 商 的 IP 网 络 在 PPP 信息 包 内 传送 ,企业 专用 地 址 对 提供 
者 的 网 络 是 透明 的 。 

(5) 端 到 端的 数据 从 拨号 用 户 传 到 LNS。 在 实际 应 用 中 ,LAC 将 拨号 用 户 的 PPP 帧 封 
装 后 ,传送 到 LNS,LNS 去 掉 封装 包头 ,得 到 PPP 帧 ,再 去 掉 PPP 帧 头 , 得 到 网 络 层 数据 包 。 

L2TP 客户 端 和 服务 器 之 间 的 报 文 也 有 两 种 :控制 报 文 和 数据 报 文 。 不 过 这 两 种 报 
文 均 采用 UDP 协议 封装 和 传送 PPP 帧 。PPP 帧 的 有 效 载荷 即 用 户 传输 数据 ,可 以 经 过 
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加 密 和 /或 压缩 。 但 需要 指出 的 是 ,与 PPTP 不 同 , 在 Windows 2000 中 ,L2TP 客户 机 不 
采用 MPPE 对 L2TP 连接 进行 加 密 ,L2TP 连接 加 密 由 IPSec ESP 提供 。 


1 控制 报 文 

控制 报 文 用 于 隧道 的 建立 与 维护 。 与 PPTP 不 同 ,L2TP 不 是 通过 TCP 协议 来 进行 
隧道 维护 ,而 是 采用 UDP 协议 。 在 Windows 2000 中 ,L2TP 客户 端 和 服务 器 都 使 用 
UDP 1701 端口 ,不 过 Windows 2000 L2TP 服务 器 也 支持 客户 端 使 用 非 1701 UDP 端口 ， 
UDP 封装 报 文 结构 如 图 9-8 所 示 。 


- IPS， JPSec - 
让 这 :oe er ss Ese | De 
Header | Header | Header 区 Messag Trailer 2 Trailer 


[由 IPSec 加 密 部 分 


图 9-8 L2TP 控制 报 文 


在 Windows 2000 实现 中 ,L2TP 控制 报 文 即 UDP 数据 报 经 过 IPSec ESP 的 加 密 。 

由 于 UDP 提供 的 是 无 连接 的 数据 包 服 务 ,因此 L2TP 采用 将 报 文 序列 化 的 方式 来 保 
证 L2TP 报 文 的 按 序 递交 。 在 L2TP 控制 报 文中 ,Next-Received 字段 (类 似 于 TCP 中 的 
确认 字段 ) 和 Next-Sent 字段 (类 似 于 TCP 中 的 序列 号 字段 ) 用 于 维持 控制 报 文 的 序列 
化 ,无 序数 据 包 将 被 丢弃 。Next-Received 字段 和 Next-Sent 字段 同样 用 于 用 户 传 输 数 据 
的 按 序 递交 和 流 控制 。L2TP 控制 报 文 的 确切 格式 ,请 参阅 L2TP Internet 草案 。 

L2TP 支持 一 条 隧道 内 的 多 路 呼叫 。 在 L2TP 的 控制 报 文 以 及 L2TP 数据 帧 的 报头 
内 ,Tunnel ID 标识 了 一 条 隧道 而 Call ID 标识 了 该 隧道 内 的 一 路 呼叫 。 

在 Windows 2000 中 ,创建 一 条 未 经 IPSec 加 密 的 L2TP 连接 是 有 可 能 的 ,但 在 这 种 
情形 下 ,由 于 用 户 私有 数据 没有 经 过 加 密 处 理 , 因 此 该 L2TP 连接 不 属于 VPN 连接 。 非 
加 密 L2TP 连接 一 般 临 时 性 地 对 基于 IPSec 的 L2TP 连接 进行 故障 诊断 和 排除 ,在 这 种 
情况 下 ,可 以 省 略 IPSec 认证 和 协商 过 程 。 

创建 L2TP 隧道 时 必须 使 用 与 PPP 连接 相同 的 认证 机 制 ,诸如 EAP、MS-CHAP、 
CHAP.、SPAP 和 PAP。 基 于 Internet 的 L2TP 服务 器 即使 用 L2TP 协议 的 拨号 服务 器 ， 
它 的 一 个 接口 在 外 部 网 络 Internet 上 , 另 一 个 接口 在 目标 专用 网 络 Intranet 上 。 


2 数据 报 文 

L2TP 隧道 维护 控制 报 文 和 隧道 化 用 户 传输 数据 具有 相同 的 包 格式 。 

L2TP 用 户 传输 数据 的 隧道 化 过 程 采用 多 层 封装 的 方法 。 图 9-9 显示 了 封装 后 在 隧 
道中 传输 的 基于 IPSec 的 L2TP 数据 包 格 式 。 

数据 发 送 端的 发 送 处 理 过 程 如 下 : 

(1) L2TP 封装 。 初 始 PPP 有 效 载荷 如 IP 数据 报 、IPX 数据 报 或 NetBEUI 帧 等 首 
先 经 过 PPP 报头 和 L2TP 报头 的 封装 。 

(2) UDP 封装 。L2TP 帧 进一步 添加 UDP 报头 进行 UDP 封装 ,在 UDP 报头 中 , 源 

181 


第 3 篇 网 络 安全 技术 ES 


© PPP Payload IPSec 
i 
eader u i: 
Header Header NetBEUI Frame) Trail Trailer Trailer 
| 
[加 密 部 分 


[ 由 IPsec ESP 认 证 报 尾 认证 部 分 
图 9-9 L2TP 数据 报 文 


端 和 目的 端 端口 号 均 设置 为 1701。 

(3) IPSec 封装 。 基 于 IPSec 安全 策略 ,UDP 报 文通 过 添加 IPSec 封装 安全 负载 ESP 
报头 、 报 尾 和 IPSec 认证 报 尾 ,进行 IPSec 加 密封 装 。 

(4) IP 封装 。 在 IPSec 数据 报 外 再 添加 IP 报头 进行 IP 封装 ,IP 报头 中 包含 VPN 客 
户 机 和 服务 器 的 源 端 和 目的 端 IP 地 址 。 

(5) 数据 链 路 层 封装 。 数 据 链 路 层 封装 是 L2TP 帧 多 层 封 装 的 最 后 一 层 , 依 据 不 同 
的 物理 网 络 再 添加 相应 的 数据 链 路 层 报头 和 报 尾 。 例 如 ,如 果 L2TP 帧 将 在 以 太 网 上 传 
输 , 则 用 以 太 网 报关 和 报 尾 对 L2TP 帧 进行 数据 链 路 层 封装 ;如 果 L2TP 帧 将 在 点 对 点 
WAN 上 传输 ,如 模拟 电话 网 或 ISDN 等 , 则 用 PPP 报头 和 报 尾 对 L2TP 帧 进行 数据 链 路 
层 封 装 。 

数据 接收 端的 处 理 过 程 如 下 : 

(1) 处 理 并 去 除数 据 链 路 层 报头 和 报 尾 。 

(2) 处 理 并 去 除 IP 报头 。 

(3) 用 IPSec ESP 认证 报 尾 对 IP 有 效 载荷 和 IPSec ESP 报头 进行 认证 。 

(4) 用 IPSec ESP 报头 对 数据 报 的 加 密 部 分 进行 解密 。 

(5) 处 理 UDP 报头 并 将 数据 报 提交 给 L2TP 协议 。 

(6) L2TP 协议 依据 L2TP 报头 中 Tunnel ID 和 Call ID 分 解 出 某 条 特定 的 
L2TP 隧道 。 

(7) 依据 PPP 报头 分 解 出 PPP 有 效 载荷 ,并 将 它 转 发 至 相关 的 协议 驱动 程序 做 进 一 
步 处 理 。 


935 PPIP 和 LZIP 的 比较 


PPTP 和 L2TP 都 使 用 PPP 协议 对 数据 进行 封装 ,然后 添加 附加 包头 用 于 数据 在 互 
联网 络 上 的 传输 。 尽 管 两 个 协议 非常 相似 ,但 是 仍 存在 以 下 几 方 面 的 不 同 ， 

(1) PPTP 要 求 互 联网 络 为 IP 网 络 ,L2TP 只 要 求 隧道 媒介 提供 面向 数据 包 的 点 对 
点 的 连接 。L2TP 可 以 在 IP( 使 用 UDP) 、 帧 中 继 永久 虚拟 电路 (PVCs) 、X. 25 虚拟 电路 
(VCs) 或 ATM VCs 网 络 上 使 用 。 

(2) PPTP 只 能 在 两 端点 间 建 立 单一 隧道 。L2TP 支持 在 两 端点 间 使 用 多 隧道 。 使 
用 L2TP, 用 户 可 以 针对 不 同 的 服务 质量 创建 不 同 的 隧道 。 

(3) L2TP 可 以 提供 包头 压缩 。 当 压缩 包头 时 ,系统 开销 占用 4 个 字 节 ,而 PPTP 协 
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议 下 要 占用 6 个 字 节 。 
(4) L2TP 可 以 提供 隧道 验证 ,而 PPTP 则 不 支持 隧道 验证 。 但 是 当 L2TP 或 
PPTP 与 IPSec 共同 使 用 时 ,可 以 由 IPSec 提供 隧道 验证 ,而 不 需要 在 第 二 层 协议 上 验 


94 ”第 三 层 隧道 协议 一 一 GRE 


第 三 层 隧 道 协 议 用 于 传输 第 三 层 网 络 协议 。 其 实 第 三 层 隧 道 协议 并 不 是 一 项 很 新 的 
技术 , 早 在 1994 年 就 出 现 的 GRE(RFC 1701) 协 议 就 是 一 个 第 三 层 隧道 协议 。 由 IETF 
制定 的 新 一 代 Internet 安全 标准 IPSec 协议 也 是 第 三 层 隧 道 协 议 。 在 本 节 中 ,我 们 讨论 
GRE 协议 ,IPSec 协议 将 在 下 一 章 中 专门 讨论 。 

GRE(Generic Routing Encapsulation ,通用 路 由 封装 协议 ) 由 Cisco 和 NetSmiths 公 
司 于 1994 年 提交 给 IETF ,标号 为 RFC 1701 和 RFC 1702。 在 2000 年 ,Cisco 等 公司 又 
对 GRE 协议 进行 了 修订 , 称 为 GRE V2, 标号 为 RFC 2784。 

GRE 是 通用 的 路 由 封装 协议 ,支持 全 部 的 路 由 协议 (如 RIP2、OSPF 等 ), 用 于 在 IP 
包 中 封装 任何 协议 的 数据 包 , 包括 IP、IPX、NetBEUI、 AppleTalk、Banyan VINES、 
DECnet 等 。 在 GRE 中 ,乘客 协议 就 是 上 面 这 些 被 封装 的 协议 ,封装 协议 就 是 GRE ,传输 
协议 就 是 IP。GRE 与 IP in IP、IPX over IP 等 封装 形式 很 相似 ,但 比 它们 更 通用 。 在 
GRE 的 处 理 中 ,很 多 协议 的 细微 差异 都 被 忽略 ,这 使 得 GRE 不 限于 某 个 特定 的 “X over 
Y" 应 用 ,而 是 一 种 通用 的 封装 形式 。 

具体 地 说 ,路 由 器 接收 到 一 个 需要 封装 和 路 由 的 原始 数据 包 ( 如 IP 包 ), 先 在 这 
个 数据 包 的 外 面 增加 一 个 GRE 头 部 构成 GRE 报 


文 ,再 为 GRE 报 文 增加 一 个 IP 头 ,从 而 构成 最 终 的 于 基部 
IP 包 。 这 个 新 生成 的 卫 包 完全 由 IP 层 负责 转发 ,中 GRE 大 部 
间 的 路 由 器 只 负责 转发 ,而 根本 不 关心 是 何 种 乘客 原始 IP 数据 包 
协议 。 以 乘客 协议 IP 为 例 ,GRE 封装 过 程 如 图 9-10 


图 9-10 GRE 报 文 
所 示 。 


利用 GRE 来 进行 VPN 通信 的 原理 如 图 9-11 所 示 。 


Router 层 守 二 < 志 Tunnel 


图 9-11 利用 GRE 实现 VPN 
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因为 企业 私有 网 络 的 IP 地 址 通常 是 自行 规划 的 保留 IP 地 址 ,只 是 在 企业 网 络 出 口 
有 一 个 公 网 IP 地 址 。 原 始 IP 包 的 IP 地 址 通常 是 企业 私有 网 络 规划 的 保留 IP 地 址 ,而 
外 层 的 IP 地 址 是 企业 网 络 出 口 的 IP 地 址 ,因此 ,尽管 私有 网 络 的 IP 地 址 无 法 和 外 部 网 
络 进行 正确 的 路 由 ,但 这 个 封装 之 后 的 IP 包 可 以 在 Internet 上 路 由 。 在 接收 端 ,将 收 到 
的 包 的 IP 头 部 和 GRE 头 部 解 开 后 ,将 原始 的 IP 数据 包 发 送 到 自己 的 私有 网 络 上 ,此 时 
在 私有 网 络 上 传输 的 IP 包 的 地 址 是 保留 IP 地 址 ,从 而 可 以 访问 到 远程 企业 的 私有 网 络 。 
这 种 技术 是 最 简单 的 VPN 技术 。 

GRE 协议 有 如 下 优点 : 

(1) 通过 GRE, 用 户 可 以 利用 公共 IP 网 络 连接 非 IP 网 络 ,如 IPX 网 络 、AppleTalk 
网 络 等 。 多 协议 的 本 地 网 可 以 通过 单一 协议 的 骨干 网 实现 传输 ,比如 两 端的 私有 网 络 既 
有 IP 网 又 有 IPX 等 其 他 网 络 ,通过 GRE, 可 以 使 所 有 协议 的 私有 网 络 连接 起 来 。 

(2) 通过 GRE, 还 可 以 使 用 保留 地 址 进行 网 络 互联 ,或 者 对 公 网 隐藏 企业 网 的 IP 
地 址 。 

(3) 扩大 了 网 络 的 工作 范围 ,包括 那些 路 由 网 关 有 限 的 协议 。 如 IPX 包 最 多 可 以 转 
发 16 次 ( 即 经 过 16 个 路 由 器 ) ,而 在 一 个 隧道 连接 中 看 上 去 只 经 过 一 个 路 由 器 。 

(4) GRE 只 提供 封装 ,不 提供 加 密 , 对 路 由 器 的 性 能 影响 较 小 ,设备 档次 要 求 相 对 
较 低 。 

不 过 ,由 于 GRE 协议 提出 较 早 , 也 存在 着 如 下 的 一 些 缺 点 : 

(1) GRE 只 提供 了 数据 包 的 封装 ,而 没有 加 密 功 能 来 防止 网 络 监听 和 攻击 ,所 以 在 
实际 环境 中 经 常 与 IPSec 一 起 使 用 。 由 IPSec 提供 用 户 数据 的 加 密 , 从 而 给 用 户 提 供 更 
好 的 安全 性 。 

(2) 由 于 GRE 与 IPSec 采用 的 是 同样 的 基于 隧道 的 VPN 实现 方式 ,所 以 IPSec 
VPN 在 管理 ,组 网 上 的 缺陷 ,GRE VPN 也 同样 具有 。 

(3) 同时 由 于 对 原 有 IP 报 文 进行 了 重新 封装 ,所 以 同样 无 法 实施 IP QoS 策略 。 

综合 上 述 GRE 的 优 缺 点 可 以 看 出 ,GRE VPN 适合 一 些小 型 点 对 点 的 网 络 互 联 、 实 
时 性 要 求 不 高 要 求 提供 地 址 空间 重生 支持 的 网 络 环境 。 


95 ”本章 小 结 


VPN 是 将 物理 分 布 在 不 同 地 点 的 网 络 通过 公用 骨干 网 ,尤其 是 Internet 连接 而 成 的 
逻辑 上 的 虚拟 子 网 。 为 了 保障 信息 的 安全 ,VPN 技术 采用 了 鉴别 ,访问 控制 ,保密 性 、 完 
整 性 等 措施 ,以 防止 信息 被 泄露 . 算 改 和 复制 。 

VPN 有 3 种 类 型 : Access VPN、Intranet VPN 和 Extranet VPN。 这 3 种 类 型 的 
VPN 分 别 对 应 于 传统 的 远程 访问 网 络 .企业 内 部 的 Intranet 以 及 企业 和 合作 伙伴 的 网 络 
所 构成 的 Extranet。 

VPN 作为 一 种 综合 的 网 络 安全 方案 ,包含 了 很 多 重要 的 技术 ,最 主要 的 是 采用 了 密 
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码 技术 、 身 份 认证 技术 、 隧 道 技 术 和 密 钥 管理 技术 4 项 技术 。 

第 二 层 隧道 协议 有 L2F、PPTP 和 L2TP 等 。L2F 已 经 过 时 ,很 少 使 用 ;PPTP 在 微 
软 的 推动 与 支持 下 ,已 经 成 为 一 种 事实 上 的 工业 标准 ,被 广泛 实现 并 已 使 用 很 长 一 段 时 
间 , 目 前 大 多 数 厂家 均 支持 PPTP;L2TP 作为 下 一 代 的 隧道 协议 ,是 PPTP 和 L2F 隧道 
功能 的 集合 ,其 隧道 并 不 局 限于 TCP/IP, 但 是 目前 仅 支持 IP。 

GRE 协议 提出 较 早 ,有 很 强 的 封装 能 力 ,不 限于 某 个 特定 的 “X over Y” 应 用 ,而 是 一 
种 通用 的 封装 形式 。 然 而 ,GRE 协议 既 不 进行 加 密 ,又 不 进行 验证 ,因此 通常 与 其 他 协议 
结合 使 用 。 


习 题 

1. 通常 所 说 的 移动 VPN 是 指 ( )。 

A. Access VPN B. Intranet VPN 

C. Extranet VPN D. 以 上 和 皆 不 是 
2. 属于 第 二 层 的 VPN 隧道 协议 有 ( )。 

A. IPSec B. PPTP C. GRE D. 以 上 和 皆 不 是 
3. GRE 协议 ( )。 

A. 既 封 装 ,又 加 密 B. 只 封装 ,不 加 密 

C. 不 封装 ,只 加 密 D. 不 封装 ,不 加 密 


4. PPTP 客户 端 使 用 (”) 建 立 连接 。 

A. TCP 协议 B. UDP 协议 C. L2TP 协 议 ”D. 以 上 缘 不 是 
5. GRE 协议 的 乘客 协议 是 (”)。 

A. IP B. IPX C. AppleTalk ”DD. 上 述 皆 可 
6. VPN 分 为 几 种 类 型 ? 各 种 类 型 有 何 特点 ? 
7. PPTP 和 L2TP 有 何 区 别 ? 
8. GRE 协议 有 何 优 缺 点 ? 


185 


网 络 安全 (第 2 版 ) 


第 10 章 
IPSec 


本 章 要 点 ， 

。 IPSec 的 概念 、 功 能 、 体 系 结构 ; 

。 安全 联盟 和 安全 策略 的 概念 ; 

。 传输 模式 和 隧道 模式 的 功能 和 特点 ; 

。 IPSec 安全 协议 的 AH 机 制 和 功能 ; 

IPSec 安全 协议 的 ESP 机 制 和 功能 ; 

。 密 钥 管理 协议 ISAKMP 机 制 和 功能 ; 
Internet 的 密 钥 交换 协议 IKE 机 制 和 功能 。 


10.1 IPSec 安全 体系 结构 


1011 IPSec 的 概念 


IPSec(IP Security) 是 一 种 由 IETF 设计 的 端 到 端的 确保 IP 层 通信 安全 的 机 制 。 
IPSec 不 是 一 个 单独 的 协议 ,而 是 一 组 协议 ,这 一 点 对 于 我 们 认识 IPSec 是 很 重要 的 。 
IPSec 协议 的 定义 文件 包括 了 12 个 RFC 文件 和 几 十 个 Internet 草案 ,已 经 成 为 工业 标准 
的 网 络 安全 协议 。 

IPSec 是 随 着 IPv6 的 制定 而 产生 的 ,鉴于 IPv4 的 应 用 仍然 很 广泛 ,所 以 后 来 在 
IPSec 的 制定 中 也 增加 了 对 IPv4 的 支持 。IPSec 在 IPv6 中 是 必须 支持 的 ,而 在 IPv4 中 
是 可 选 的 。 本 章 中 提 到 IP 协议 时 是 指 IPv4 协议 。 

IP 协议 在 当初 设计 时 并 没有 过 多 地 考虑 安全 问题 ,而 只 是 为 了 能 够 使 网 络 方 便 地 进 
行 互联 互通 ,因此 IP 协议 从 本 质 上 就 是 不 安全 的 。 仅 仅 依 靠 IP 头 部 的 校 验 和 字段 无 法 
保证 IP 包 的 安全 ,修改 IP 包 并 重新 正确 计算 校 验 和 是 很 容易 的 。 如 果 不 采取 安全 措施 ， 
IP 通信 会 暴露 在 多 种 威胁 之 下 ,下面 举 几 个 简单 的 例子 。 

(1) 窃听 

一 般 情况 下 IP 通信 和 是 明文 形式 的 ,第 三 方 可 以 很 容易 地 窃听 到 IP 数据 包 并 提取 出 
其 中 的 应 用 层 数据 。“ 窍 听 ” 虽 然 不 破坏 数据 , 却 造 成 了 通信 内 容 外 汇 , 其 至 危及 敏感 数据 
的 安全 。 

(2) 自 改 

攻击 者 可 以 在 通信 线路 上 非法 窃取 到 IP 数据 包 , 修 改 其 内 容 并 重新 计算 校 验 和 , 数 
据 包 的 接收 方 一 般 不 可 能 察觉 出 来 。 作 为 网 络 通信 用 户 , 即 使 并 非 所 有 的 通信 数据 都 是 
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高 度 机 密 的 ,也 不 想 看 到 数据 在 传输 过 程 中 有 任何 差错 。 

(3) IP 欺骗 

在 一 台 机 器 上 可 以 假冒 另外 一 台 机 器 向 接收 方 发 包 。 接 收 方 无 法 判断 收 到 的 数据 包 
是 否 真 的 来 自 该 IP 包 中 所 声称 的 源 IP 地 址 。 

(4) 重 放 攻击 法 

搜集 特定 的 IP 包 , 进 行 一 定 的 处 理 , 然 后 再 一 一 重新 发 送 ,欺骗 接收 方 主机 。 

IP 协议 之 所 以 如 此 不 安全 ,就 是 因为 IP 协议 没有 采取 任何 安全 措施 , 既 没 有 对 数据 
包 的 内 容 进行 完整 性 验证 ,又 没有 进行 加 密 。 如 今 ,IPSec 协议 可 以 为 IP 网 络 通信 提供 
透明 的 安全 服务 ,保护 TCP/IP 通信 和 免 遭 窃听 和 算 改 ,保证 数据 的 完整 性 和 机 密 性 ,有 效 
抵御 网 络 攻击 ,同时 保持 易 用 性 。 

表 10-1 列 出 了 与 IPSec 相关 的 RFC, 如 果 想 进一步 了 解 IPSec 的 某 些 内 容 , 请 参考 
相关 的 网 址 http://www. faqs. org/rfcs。 


表 10-1 定义 IPsec 协议 簇 的 各 RFC 


RFC 内 容 

2401 IPSec 体系 结构 

2402 AH(Authentication Header) 协 议 

2403 HMAC-MD5-96 在 AH 和 ESP 中 的 应 用 
2404 HMAC-SHA-1-96 在 AH 和 ESP 中 的 应 用 
2405 DES-CBC 在 ESP 中 的 应 用 

2406 ESP(Encapsulating Security Payload) 协 议 
2407 IPSec DOI 

2408 ISAKMP 协议 

2409 IKE(Internet Key Exchange) 协 议 

2410 NULL 加 密 算 法 及 在 IPSec 中 的 应 用 
2411 IPSec 文档 路 线 图 

2412 OAKLEY 协议 


1012 IPSec 的 功能 


IPSec 具有 以 下 功能 : 

(1) 作为 一 个 隧道 协议 实现 了 VPN 通信 

IPSec 作为 第 三 层 的 隧道 协议 ,可 以 在 IP 层 上 创建 一 个 安全 的 隧道 ,使 两 个 异地 的 
私有 网 络 连 接 起 来 ,或 者 使 公 网 上 的 计算 机 可 以 访问 远程 的 企业 私有 网 络 。 这 主要 是 通 
过 隧道 模式 实现 的 ,有 关 传 输 模式 和 隧道 模式 参见 10. 1. 6 小 节 。 

(2) 保证 数据 来 源 可 靠 

在 IPSec 通信 之 前 双方 要 先 用 IKE 认证 对 方 身份 并 协商 密 钥 , 只 有 IKE 协商 成 功 之 
后 才能 通信 。 由 于 第 三 方 不 可 能 知道 验证 和 加 密 的 算法 以 及 相关 密 钥 ,因此 无 法 冒充 发 
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送 方 ,即使 冒充 ,也 会 被 接收 方 检测 出 来 。 

(3) 保证 数据 完整 性 

IPSec 通过 验证 算法 功能 保证 数据 从 发 送 方 到 接收 方 的 传送 过 程 中 的 任何 数据 自 改 
和 丢失 都 可 以 被 检测 。 

(4) 保证 数据 机 密 性 

IPSec 通过 加 密 算法 使 只 有 真正 的 接收 方才 能 获取 真正 的 发 送 内 容 , 而 他 人 无 法 获 
知 数据 的 真正 内 容 。 


1013 IPSec 体系 结构 
IPSec 众多 的 RFC 通过 如 图 10-1 所 示 的 关系 图 组 织 在 一 起 。 


IPSec 安全 体系 


ESP 协 议 AH 协议 
1 | 


加 密 算法 验证 算法 


图 10-1 IPSec 体系 结构 


从 图 10-1 中 可 以 看 出 ,IPSec 包含 了 3 个 最 重要 的 协议 :AH ESP 和 IKE。 

(1) AH 为 IP 数据 包 提 供 如 下 3 种 服务 :无 连接 的 数据 完整 性 验证 ,数据 源 身份 认 
证 和 防 重 放 攻击 。 数 据 完 整 性 验证 通过 哈 希 函数 (如 MD5) 产 生 的 校 验 来 保证 ;数据 源 身 
份 认证 通过 在 计算 验证 码 时 加 入 一 个 共享 密 钥 来 实现 ;AH 报头 中 的 序列 号 可 以 防止 重 
放 攻 击 。 

(2) ESP 除了 为 IP 数据 包 提 供 AH 已 有 的 3 种 服务 外 ,还 提供 另外 两 种 服务 :数据 
包 加 密 .数据 流 加 密 。 加 密 是 ESP 的 基本 功能 ,而 数据 源 身份 认证 ,数据 完整 性 验证 以 及 
防 重 放 攻 击 都 是 可 选 的 。 数 据 包 加 密 是 指 对 一 个 IP 包 进 行 加 密 , 可 以 是 对 整个 IPP 包 ,也 
可 以 只 加 密 IP 包 的 载荷 部 分 ,一 般 用 于 客户 端 计算 机 ;数据 流 加 密 一 般 用 于 支持 IPSec 
的 路 由 器 , 源 端 路 由 器 并 不 关心 IP 包 的 内 容 , 对 整个 IP 包 进 行 加 密 后 传输 ,目的 端 路 由 
器 将 该 包 解 密 后 将 原始 包 继续 转发 。 

AH 和 ESP 可 以 单独 使 用 ,也 可 以 嵌 套 使 用 。 通 过 这 些 组 合 方式 ,可 以 在 两 台 主 机 、 

台 安 全 网 关 ( 防 火 墙 和 路 由 器 ) ,或 者 主机 与 安全 网 关 之 间 使 用 。 

(3) IKE 协议 负责 密 钥 管理 ,定义 了 通信 实体 间 进 行 身份 认证 ,协商 加 密 算 法 以 及 生 

成 共享 的 会 话 密 钥 的 方法 。IKE 将 密 钥 协商 的 结果 保留 在 安全 联盟 (SA) 中 , 供 AH 和 
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ESP 以 后 通信 时 使 用 。 

最 后 ,解释 域 (DODI) 为 使 用 IKE 进行 协商 SA 的 协议 统一 分 配 标识 符 。 共 享 一 个 
DOI 的 协议 从 一 个 共同 的 命名 空间 中 选择 安全 协议 和 变换 、 共 享 密码 以 及 交换 协议 的 标 
识 符 等 ,DOI 将 IPSec 的 这 些 RFC 文档 联系 到 一 起 。 


1014 安全 联盟 和 安全 联盟 数据 库 


1 安全 联盟 (SA) 
理解 SA 这 一 概念 对 于 理解 IPSec 是 至 关 重 要 的 。AH 和 ESP 两 个 协议 都 使 用 SA 
来 保护 通信 ,而 IKE 的 主要 功能 就 是 在 通信 双方 协商 SA。 
SA(Security Association ,安全 联盟 ) 是 两 个 IPSec 实体 (主机 、 安 全 网 关 ) 之 间 经 过 协 
商 建立 起 来 的 一 种 协定 ,内 容 包 括 采用 何 种 IPSec 协议 (AH 还 是 ESP) .运行 模式 (传输 
模式 还 是 隧道 模式 ) .验证 算法 .加 密 算 法 ,加密 密 钥 、 密 钥 生 存 期 . 抗 重 放 窗 口 .计数 器 等 ， 
从 而 决定 了 保护 什么 、 如 何 保护 以 及 谁 来 保护 。 可 以 说 SA 是 构成 IPSec 的 基础 。 
SA 是 单 向 的 ,进入 (inbound)SA 负责 处 理 接收 到 的 数据 包 , 外 出 (outbound)SA 负 
责 处 理 要 发 送 的 数据 包 。 因 此 每 个 通信 方 必须 要 有 两 种 SA, 一 个 进入 SA, 一 个 外 出 
SA, 这 两 个 SA 构成 了 一 个 SA 束 (SA Bundle) 。 
SA 的 管理 包括 创建 和 删除 ,有 以 下 两 种 管理 方式 。 
(1) 手工 管理 :SA 的 内 容 由 管理 员 手 工 指定 .手工 维护 。 但 是 ,手工 维护 容易 出 错 ， 
而 且 手工 建立 的 SA 没有 生存 周期 限制 ,一 旦 建立 了 ,就 不 会 过 期 ,除非 手工 删除 ,因此 有 
安全 隐患 。 
(2) IKE 自动 管理 :一 般 来 说 ,SA 的 自动 建立 和 动态 维护 是 通过 IKE 进行 的 。 利 用 
IKE 创建 和 删除 SA ,不 需要 管理 员 手 工 维护 ,而 且 SA 有 生命 期 。 如 果 安 全 策略 要 求 建 
立 安 全 、 保 密 的 连接 ,但 又 不 存在 与 该 连接 相应 的 SA,IPSec 的 内 核 会 立刻 启动 IKE 来 协 
商 SA。 
每 个 SA 由 三 元 组 CSPI, 源 /目的 IP 地 址 ,IPSec 协议 ?唯一 标识 ,这 3 项 含义 如 下 : 
。 SPI(Security Parameter Index, 安 全 参数 索引 ) 是 32 位 的 安全 参数 索引 ,标识 同 
一 个 目的 地 的 SA。 

。 源 /目的 IP 地 址 :表示 对 方 IP 地 址 ,对 于 外 出 数据 包 , 指 目的 IP 地 址 ;对 于 进入 
IP 包 , 指 源 IP 地 址 。 

"IPSec 协议 :采用 AH 或 ESP。 


2 安全 联盟 数据 库 (SAD) 

SAD(Security Association Database, 安 全 联盟 数据 库 ) 并 不 是 通常 意义 上 的 “数据 
库 ”, 而 是 将 所 有 的 SA 以 某 种 数据 结构 集中 存储 的 一 个 列表 。 对 于 外 出 的 流量 ,如 果 需 
要 使 用 IPSec 处 理 , 然 而 相应 的 SA 不 存在 , 则 IPSec 将 启动 IKE 来 协商 出 一 个 SA ,并存 
储 到 SAD 中 。 对 于 进入 的 流量 ,如 果 需 要 进行 IPSec 处 理 ,IPSec 将 从 IP 包 中 得 到 三 元 
组 ,并 利用 这 个 三 元 组 在 SAD 中 查找 一 个 SA。 

SAD 中 每 一 个 SA 除了 上 面 的 三 元 组 之 外 ,还 包括 下 面 这 些 内 容 。 
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(1) 本 方 序号 计数 器 :32 位 ,用 于 产生 AH 或 ESP 头 的 序号 字段 , 仅 用 于 外 出 数据 
包 。SA 刚 建立 时 ,该 字段 值 设 置 为 0, 每 次 用 SA 保护 完 一 个 数据 包 时 ,就 把 序列 号 的 值 
递增 1 ,对 方 利 用 这 个 字段 来 检测 重 放 攻 击 。 通 常 在 这 个 字段 溢出 之 前 ,SA 会 重新 进行 
协商 。 

(2) 对 方 序号 溢出 标志 :标识 序号 计数 器 是 否 溢出 。 如 果 溢 出 , 则 产生 一 个 审计 事 
件 , 并 禁止 用 SA 继续 发 送 数 据 包 。 

(3) 抗 重 放 窗口 :32 位 计数 器 ,用 于 决定 进入 的 AH 或 ESP 数据 包 是 否 为 重 发 的 。 
仅 用 于 进入 数据 包 , 如 接收 方 不 选择 抗 重 放 服务 (如 手工 设置 SA 时 ), 则 不 用 抗 重 放 
窗口 。 

(4) AH 验证 算法 、 密 钥 等 。 

(5) ESP 加 密 算法 、 密 钥 .IV (Initial Vector) 模 式 、IV 等 。 如 不 选择 加 密 ,该 字段 

为 空 。 
(6) ESP 验证 算法 、 密 钥 等 。 如 不 选择 验证 ,该 字段 为 空 。 
(7) SA 的 生存 期 :表示 SA 能 够 存在 的 最 长 时 间 。 生 存 期 的 衡量 可 以 用 时 间 也 可 以 
用 传输 的 字 节 数 , 或 将 两 者 同时 使 用 ,优先 采用 先 到 期 者 。SA 过 期 之 后 应 建立 一 个 新 的 
SA 或 终止 通信 。 

(8) 运行 模式 :是 传输 模式 还 是 隧道 模式 。 

(9) PMTU :所 考察 的 路 径 的 MTU 及 其 TTL 变量 。 


1015 安全 策略 和 安全 策略 数据 库 


SP(Security Policy ,安全 策略 ) 指 示 对 IP 数据 包 提供 何 种 保护 ,并 以 何 种 方式 实施 保 
护 。SP 主要 根据 源 IP 地 址 .目的 IP 地 址 .人 数据 还 是 出 数据 等 来 标识 。IPSec 还 定义 了 
用 户 能 以 何 种 粒度 来 设 定 自己 的 安全 策略 ,由 “选择 符 " 来 控制 粒度 的 大 小 ,不 仅 可 以 控制 
到 IP 地 址 ,还 可 以 控制 到 传输 层 协议 或 者 TCP/UDP 端口 等 。 

SPD(Security Policy Database, 安 全 策略 数据 库 ) 也 不 是 通常 意义 上 的 “数据 库 ”, 而 
是 将 所 有 的 SP 以 某 种 数据 结构 集中 存储 的 列表 。 

当 要 将 IP 包 发 送出 去 时 ,或 者 接收 到 IP 包 时 ,首先 要 查找 SPD 来 决定 如 何 进行 处 
理 。 存 在 3 种 可 能 的 处 理 方式 :丢弃 \ 不 用 IPSec 和 使 用 IPSec。 

(1) 丢弃 :流量 不 能 离开 主机 或 者 发 送 到 应 用 程序 ,也 不 能 进行 转发 。 

(2) 不 用 IPSec: 对 流量 作为 普通 流量 处 理 , 不 需要 额外 的 IPSec 保护 。 

(3) 使 用 IPSec: 对 流量 应 用 IPSec 保护 ,此 时 这 条 安全 策略 要 指向 一 个 SA。 对 于 外 
出 流量 ,如 果 该 SA 尚 不 存在 , 则 启动 IKE 进行 协商 ,把 协商 的 结果 连接 到 该 安全 策略 上 。 


1016 ”IPSec 运行 模式 


IPSec 有 两 种 运行 模式 :传输 模式 (Transport Mode) 和 隧道 模式 (Tunnel Mode) 。 
AH 和 ESP 都 支持 这 两 种 模式 ,因此 有 4 种 可 能 的 组 合 :传输 模式 的 AH、 隧 道 模式 的 
AH 传输 模式 的 ESP 和 隧道 模式 的 ESP。 
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1. IPSec 传输 模式 

传输 模式 要 保护 的 内 容 是 IP 包 的 载荷 ,可 能 是 TCP/UDP 等 传输 层 协议 ,也 可 能 是 
ICMP 协议 ,还 可 能 是 AH 或 者 ESP 协议 (在 嵌 套 的 情况 下 )。 传 输 模式 为 上 层 协议 提供 
安全 保护 。 通 常情 况 下 ,传输 模式 只 用 于 两 台 主 机 之 间 的 安全 通信 。 

正常 情况 下 ,传输 层 数据 包 在 IP 中 被 添加 一 个 IP 头 部 构成 IP 包 。 启用 IPSec 之 
后 ,IPSec 会 在 传输 层 数据 前 面 增加 AH 或 者 ESP 或 者 两 者 同时 增加 ,构成 一 个 AH 数 
据 包 或 者 ESP 数据 包 , 然 后 再 添加 IP 头 部 组 成 新 的 卫 包 。 

以 TCP 协议 为 例 , 应 用 IPSec 之 后 包 的 格式 有 下 面 3 种 可 能 (阴影 表示 新 增 的 
部 分 ) 。 


应 用 AH IP AH TCP 

应 用 ESP: IP ESP TCP 

应 用 AH 和 ESP: IP AH ESP TCP 
2 IPSec 隧道 模式 


隧道 模式 保护 的 内 容 是 整个 原始 IP 包 ,隧道 模 式 为 IP 协议 提供 安全 保护 。 通 常情 
况 下 ,只 要 IPSec 双方 有 一 方 是 安全 网 关 或 路 由 器 ,就 必须 使 用 隧道 模式 。 

如 果 路 由 器 要 为 自己 转发 的 数据 包 提 供 IPSec 安全 服务 ,就 要 使 用 隧道 模式 。 路 由 
器 主要 依靠 检查 IP 头 部 来 做 出 路 由 决定 ,不 会 也 不 应 该 修改 IP 头 部 以 外 的 其 他 内 容 。 
如 果 路 由 器 对 要 转发 的 包 插 和 人 传送 模式 的 AH 或 ESP 头 部 , 便 违 反 了 路 由 器 的 规则 。 

路 由 器 将 需要 进行 IPSec 保护 的 原始 IP 包 看 作 一 个 整体 ,将 这 个 IP 包 作为 要 保护 
的 内 容 ,前 面 添加 AH 或 者 ESP 头 部 ,然后 再 添加 新 的 IP 头 部 ,组 成 新 的 IP 包 之 后 再 转 
发 出 去 。 以 ESP 为 例 , 示 意 如 下 。 


应 用 ESP: IP ESP IP+TCP 


IPSec 隧道 模式 的 数据 包 有 两 个 IP 头 :内 部 头 和 外 部 头 。 内 部 头 由 路 由 器 背后 的 主 
机 创建 ,外 部 头 由 提供 IPSec 的 设备 (可 能 是 主机 ,也 可 能 是 路 由 器 ) 创 建 。 隧 道 模式 下 ， 
通信 终点 由 受 保护 的 内 部 IP 头 指定 ,而 IPSec 终点 则 由 外 部 IP 头 指定 。 如 IPSec 终点 
为 安全 网 关 , 则 该 网 关 会 还 原 出 内 部 IP 包 ,再 转发 到 最 终 目 的 地 。 


10.2 IPSec 安全 协议 一 一 AH 


1021 AH 概 述 


AH(Authentication Header, 验 证 头 部 协议 ) 由 RFC2402 定义 ,是 用 于 增强 IP 层 安 
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全 的 一 个 IPSec 协议 ,该 协议 可 以 提供 无 连接 的 数据 完整 性 .数据 来 源 验证 和 抗 重 放 攻 击 
服务 。 

AH 协议 对 IP 层 的 数据 使 用 密码 学 中 的 验证 算法 ,从 而 使 得 对 IP 包 的 修改 可 以 被 
检测 出 来 。 具 体 地 说 ,这 个 验证 算法 是 密码 学 中 的 MAC(Message Authentication 
Codes, 报 文 验证 码 ) 算 法 , MAC 算法 将 一 段 给 定 的 任意 长 度 的 报 文 和 一 个 密 钥 作为 输 
入 ,产生 一 个 固定 长 度 的 输出 报 文 , 称 为 报 文摘 要 或 者 指纹 。MAC 算法 与 HASH 算法 
非常 相似 ,区 别 在 于 MAC 算法 需要 一 个 密 钥 (key) ,而 HASH 算法 不 需要 。 实 际 上 ， 
MAC 算法 一 般 是 由 HASH 算法 演变 而 来 ,也 就 是 将 输入 报 文 和 密 钥 结合 在 一 起 然后 应 
用 HASH 算法 。 这 种 MAC 算法 称 为 HMAC, 例 如 HMAC-MD5、HMAC-SHA1、 
HMAC-RIPEMD-160 。 

通过 HMAC 算法 可 以 检测 出 对 IP 包 的 任何 修改 ,不 仅 包括 对 IP 包 的 源 / 目 的 IP 地 
址 的 修改 ,还 包括 对 IP 包 载 荷 的 修改 ,从 而 保证 了 IP 包 内 容 的 完整 性 和 IP 包 来 源 的 可 
靠 性 。 为 了 使 通信 双方 能 产生 相同 的 报 文摘 要 ,通信 双方 必须 采用 相同 的 HMAC 算法 
和 密 钥 。 对 同一 段 报 文 使 用 不 同 的 密 钥 来 产生 相同 的 报 文摘 要 是 不 可 能 的 。 因 此 ,只 有 
采用 相同 的 HMAC 算法 并 共享 密 钥 的 通信 双方 才能 产生 相同 的 验证 数据 。 

不 同 的 IPSec 系统 ,其 可 用 的 HMAC 算法 也 可 能 不 同 ,但 是 有 两 个 算法 是 所 有 
IPSec 都 必须 实现 的 :HMAC-MD5 和 HMAC-SHA1。 


1022 AH 头 部 格式 


AH 协议 和 TCP、UDP 协议 一 样 ,是 被 IP 协议 封装 的 协议 之 一 。 一 个 IP 包 的 载荷 
是 否 是 AH 协议 ,由 IP 协议 头 部 中 的 协议 字段 判断 ,正如 TCP 协议 是 6,UDP 协议 是 17 
一 样 ,AH 协议 是 51。 如 果 一 个 IP 包 封 装 的 是 AH 协议 ,在 IP 包头 (包括 选项 字段 ) 后 面 
紧 跟 的 就 是 AH 协议 头 部 ,格式 如 图 10-2 所 示 。AH 头 部 格式 包括 以 下 内 容 。 


0 池 15 31 
下 一 个 头 载荷 长 度 | 保留 
SPI 
序列 号 
验证 数据 ( 变 长 ) 二 
图 10-2 AH 头 部 


(1) 下 一 个 头 (Next Header) 

最 开始 的 8 位 ,表示 紧 跟 在 AH 头 部 的 下 一 个 载荷 的 类 型 ,也 就 是 紧 跟 在 AH 头 部 
后 面 数据 的 协议 。 在 传输 模式 下 ,该 字段 是 处 于 保护 中 的 传输 层 协议 的 值 , 比 如 6(TCP)、 
17(UDP) 或 者 50(ESP)。 在 隧道 模式 下 ,AH 所 保护 的 是 整个 IP 包 , 该 值 是 4, 表示 
IP-in-IP 协 议 。 

(2) 载荷 长 度 (Payload Length) 

接 下 来 的 8 位 ,其 值 是 以 32 位 (4 字 节 ) 为 单位 的 整个 AH 数据 (包括 头 部 和 变 长 的 
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认证 数据 ) 的 长 度 再 减 2 。 

(3) 保留 (reserved) 

16 位 ,作为 保留 用 ,实现 中 应 全 部 设置 为 0。 

(4) SPI(Security Parameter Index, 安 全 参数 索引 ) 

SPI 是 一 个 32 位 整数 ,与 源 /目的 IP 地 址 .IPSec 协议 一 起 组 成 的 三 元 组 可 以 为 该 IP 
包 唯 一 地 确定 一 个 SA。[1,255] 保 留 为 将 来 使 用 ,0 保留 本 地 的 特定 实现 使 用 。 因 此 ,可 
用 的 SPI 值 为 [256 ,2” 一 1]。 

(5) 序列 号 (Sequence Number) 

序列 号 是 一 个 32 位 整数 ,作为 一 个 单调 递增 的 计数 器 ,为 每 个 AH 包 赋 予 一 个 
序号 。 当 通信 双方 建立 SA 时 ,计数 器 初始 化 为 0。SA 是 单 向 的 ,每 发 送 一 个 包 , 外 
出 SA 的 计数 器 增 1; 每 接收 一 个 包 , 进 入 SA 的 计数 器 增 1。 该 字段 可 以 用 于 抵抗 重 
放 攻 击 。 

(6) 验证 数据 (Authentication Data) 

可 变 长 部 分 ,包含 了 验证 数据 ,也 就 是 HMAC 算法 的 结果 , 称 为 ICV (Integrity 
Check Value, 完 整 性 校 验 值 ) 。 该 字段 必须 为 32 位 的 整数 倍 ,如 果 ICYV 不 是 32 位 的 整数 
倍 ,必须 进行 填充 ,用 于 生成 ICV 的 算法 由 SA 指定 。 


1023 AH 运行 模式 
AH 有 两 种 运行 模式 :传输 模式 和 隧道 模式 。 


1 AH 传输 模式 

在 传输 模式 中 ,AH 插入 到 IP 头 部 (包括 IP 选项 字段 ) 之 后 ,传输 层 协议 (如 TCP、 
UDP) 或 者 其 他 IPSec 协议 之 前 。 以 TCP 数据 为 例 ,图 10-3 表示 了 AH 在 传输 模式 中 的 
位 置 。 


IP 头 部 ( 含 选项 字段 ) 


TCP 头 部 ( 含 选 项 字段 ) 
数据 


(a) 应 用 AH 之 前 


IP 头 部 ( 含 选 项 字段 ) 
AH 头 部 验证 区 域 
(可 变 字段 除外 ) 
TCP 头 部 ( 含 选项 字段 ) 
数据 
(b) 应 用 AH 之 后 
图 10-3 AH 传输 模式 


从 图 10-3 可 以 看 出 ,被 AH 验证 的 区 域 是 整个 IP 包 ( 可 变 字段 除外 ,有 关 可 变 字 段 
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参见 10. 2.4 小 节 ) ,包括 IP 包头 部 ,因此 源 IP 地 址 .目的 IP 地 址 是 不 能 修改 的 ,否则 会 
被 检测 出 来 。 然 而 ,如 果 该 包 在 传送 的 过 程 中 经 过 NAT(Network Address Translation ， 
网 络 地 址 转换 ) 网 关 , 其 源 /目的 IP 地 址 将 被 改变 ,将 造成 到 达 目 的 地 址 后 的 完整 性 验证 
失败 。 因 此 ,AH 在 传输 模式 下 和 NAT 是 冲突 的 ,不 能 同时 使 用 ,或 者 可 以 说 AH 不 能 
穿越 NAT。 


2 AH 隧道 模式 
在 隧道 模式 中 ,AH 插入 到 原始 IP 头 部 字段 之 前 ,然后 在 AH 之 前 再 增加 一 个 新 的 
IP 头 部 。 以 TCP 为 例 , 图 10-4 表示 了 AH 在 隧道 模式 中 的 位 置 。 


IP 头 部 ( 含 选项 字段 ) 
TCP 头 部 ( 含 选项 字段 ) 
数据 


(a) 应 用 AH 之 前 


新 IP 头 部 ( 含 选 项 字段 ) 


AH 头 部 


Ip 头 部 ( 舍 选 项 字段 ) i 


TCP 头 部 ( 售 选 项 字段 ) | 
| 数据 | 
(b) 应 用 AH 之 后 


图 10-4 AH 隧道 模式 


隧道 模式 下 ,AH 验证 的 范围 也 是 整个 IP 包 ,因此 上 面 讨论 的 AH 和 NAT 的 冲突 
在 隧道 模式 下 也 存在 。 
在 隧道 模式 中 ,AH 可 以 单独 使 用 ,也 可 以 和 ESP 一 起 旗 套 使 用 。 


1024 数据 完整 性 检查 


在 应 用 AH 进行 处 理 时 ,相应 的 SA 应 该 已 经 建立 ,因此 AH 所 用 到 的 HMAC 算法 
和 密 钥 已 经 确定 。 从 上 面 的 传输 模式 和 隧道 模式 可 以 看 出 ,AH 协议 验证 的 范围 包括 整 
个 IP 包 ,验证 过 程 概括 如 下 :在 发 送 方 ,整个 IP 包 和 验证 密 钥 被 作为 输入 ,经 过 HMAC 
算法 计算 后 得 到 的 结果 被 填充 到 AH 头 部 的 “验证 数据 ”字段 中 ;在 接收 方 ,整个 IP 包 和 
验证 算法 所 用 的 密 钥 也 被 作为 输入 ,经 过 HMAC 算法 计算 的 结果 和 AH 头 部 的 “验证 数 
据 ” 字 段 进行 比较 ,如 果 一 致 ,说 明 该 IP 包 数 据 没有 被 自 改 ,内 容 是 真实 可 信和 的。 

在 应 用 HMAC 算法 时 ,有 一 些 因素 需要 考虑 。 在 IP 字段 中 ,有 一 些 是 可 变 的 ,而 且 
在 传输 过 程 中 被 修改 也 是 合理 的 ,不 能 说 明 该 数据 包 是 被 非法 自 改 的 。 这 些 字 段 在 计算 
HMAC 时 被 临时 用 0 填充 ,具体 包括 如 下 。 

。 ToS(Type of Service) : 8 位 的 服务 类 型 字段 指出 了 延 时 、 吞 吐 量 和 可 靠 性 方面 的 
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要 求 。 某 些 路 由 器 会 修改 该 字段 以 达到 特定 的 QoS 服务 质量 。 
。 标志 字段 : 这 是 指 用 于 表示 分 片 的 3 位 标志 一 一 DF (Don’?t Fragment)、MF 
(More Fragments) 和 0。 路 由 器 可 能 会 修改 这 3 个 标志 。 
。 分 片 偏 移 字段 : 标志 字段 后 面 的 13 位 的 偏 移 字段 。 
。 TTL: 生命 期 ,为 了 防止 IP 包 的 无 限 次 路 由 ,每 经 过 一 个 路 由 器 ,该 字段 减 1, 当 
TTL 变 为 0 时 ,被 路 由 器 抛弃 。 
。 头 部 校 验 和 :中 间 路 由 器 对 IP 包头 部 作 了 任何 修改 之 后 ,必须 重新 计算 头 部 校 验 
和 ,因此 该 字段 也 是 可 变 的 。 
。 选项 字段 。 
另外 ,AH 头 部 的 验证 数据 字段 在 计算 之 前 也 要 用 0 填充 ,计算 之 后 再 填充 验证 
结果 。 
对 于 一 个 IP 包 , 除 上 述 可 变 字段 外 ,其 余部 分 都 认为 是 应 该 不 变 的 ,这 些 部 分 也 正 是 
受到 AH 协议 保护 的 部 分 。 具 体 来 说 ,这 些 不 变 的 部 分 包括 如 下 。 
。 版 本 字段 。 
。 头 部 长 度 字 段 。 
。 IP 总 长 字段 。 
*。 了 D 字 段 。 
。 协议 字段 。 
。 源 IP 地 址 字段 。 
。 目 的 地 址 字段 。 
。 AH 头 中 除 “ 验 证 数据 "以 外 的 其 他 字段 。 
。 数据 : 指 经 过 AH 处 理 之 后 ,在 AH 头 部 后 面 的 数据 。 传 输 方式 下 , 指 TCP、UDP 
或 ICMP 等 传输 层 数据 ;隧道 模式 下 , 指 被 封装 的 原 IP 包 。 


i103 IPSec 安全 协议 一 -ESP 


1031 ESP 概 述 


与 AH 一 样 ,ESP(Encapsulating Security Payload, 封 装 安全 载荷 ) 协 议 也 是 一 种 增 
强 IP 层 安全 的 IPSec 协议 ,由 RFC2406 定义 。ESP 协议 除了 可 以 提供 无 连接 的 完整 性 、 
数据 来 源 验 证 和 抗 重 放 攻 击 服务 之 外 ,还 提供 数据 包 加 密 和 数据 流 加 密 服 务 。 

ESP 协议 提供 数据 完整 性 和 数据 来 源 验证 的 原理 和 AH 一 样 ,也 是 通过 验证 算法 实 
现 。 然 而 ,与 AH 相 比 ,ESP 验证 的 数据 范围 要 小 一 些 。ESP 协议 规定 了 所 有 IPSec 系 
统 必须 实现 的 验证 算法 :HMAC-MD5、HMAC-SHA1、NULL。NULL 认证 算法 是 指 实 
际 不 进行 认证 。 

数据 包 加 密 服 务 通 过 对 单个 IP 包 或 IP 包 载 荷 应 用 加 密 算 法 实现 ;数据 流 加 密 是 通 
过 隧道 模式 下 对 整个 IP 包 应 用 加 密 算 法 实现 。ESP 的 加 密 采用 的 是 对 称 密 钥 加 密 算法 。 
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与 公 钥 加 密 算 法 相 比 ,对 称 加 密 算法 可 以 提供 更 大 的 加 密 / 解 密 吞 吐 量 。 不 同 的 IPSec 实 
现 , 其 加 密 算 法 也 有 所 不 同 。 为 了 保证 互 操 作 性 ,ESP 协议 规定 了 所 有 IPSec 系统 都 必须 
实现 的 算法 :DES-CBCNULL。NULL 加 密 算法 是 指 实际 不 进行 加 密 。 

之 所 以 有 NULL 算法 ,是 因为 加 密 和 认证 都 是 可 选 的 ,但 是 ESP 协议 规定 加 密 和 认 
证 不 能 同时 为 NULL。 换 句 话 说 ,如 果 采 用 ESP, 加 密 和 认证 至 少 必 选 其 一 ,当然 也 可 以 
两 者 都 选 , 但 是 不 能 两 者 都 不 选 。 


1032 ESP 头 部 格式 


ESP 协议 和 TCP、UDP、AH 协议 一 样 ,是 被 IP 协议 封装 的 协议 之 一 。 一 个 卫 包 的 
载荷 是 否 是 ESP 协议 ,由 IP 协议 头 部 中 的 协议 字段 判断 ,ESP 协议 字段 是 50。 如 果 一 个 
IP 包 封装 的 是 ESP 协议 ,在 IP 包头 (包括 选项 字段 ) 后 面 紧 跟 的 就 是 ESP 协议 头 部 , 格 
式 如 图 10-5 所 示 。ESP 头 部 格式 包括 以 下 内 容 。 


0 过 15 31 
SPI 
序列 呈 
2 载荷 数据 ( 变 长 ) 
填充 (0~255 字 节 ) 


填充 长 度 


2 给 证 数据 ( 变 长 ) 2 


图 10-5 ESP 头 部 格式 


(C1) SPI 

SPI 是 一 个 32 位 整数 ,与 源 / 目 的 IP 地 址 .IPSec 协议 一 起 组 成 的 三 元 组 可 以 为 该 IP 
包 唯 一 地 确定 一 个 SA。 

(2) 序列 号 (Sequence Number) 

序列 号 是 一 个 32 位 整数 ,作为 一 个 单调 递增 的 计数 器 ,为 每 个 ESP 包 赋 予 一 个 
序号 。 当 通信 双方 建立 SA 时 ,计数 器 初始 化 为 0。SA 是 单 向 的 ,每 发 送 一 个 包 , 外 
出 SA 的 计数 器 增 1; 每 接收 一 个 包 , 进 入 SA 的 计数 器 增 1。 该 字段 可 以 用 于 抵抗 重 
放 攻 击 。 

(3) 载荷 数据 (Payload Data) 

这 是 变 长 字段 ,包含 了 实际 的 载荷 数据 。 不 管 SA 是 否 需 要 加 密 , 该 字段 总 是 必需 
的 。 如 果 采 用 了 加 密 ,该 部 分 就 是 加 密 后 的 密 文 ;如 果 没 有 加 密 , 该 部 分 就 是 明文 。 如 果 
采用 的 加 密 算法 需要 一 个 IV(Initial Vector, 初 始 向 量 ),IV 也 是 在 本 字段 中 传输 的 。 该 
加 密 算 法 的 规范 必须 能 够 指明 IV 的 长 度 以 及 在 本 字段 中 的 位 置 。 本 字段 的 长 度 必 须 是 
8 位 的 整数 倍 。 
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(4) 填充 (Padding) 


填充 字段 包含 了 填充 位 。 
(5) 填充 长 度 (Pad Length) 


第 10 章 


IPSec 


填充 长 度 字 段 是 一 个 8 位 字段 ,以 字 节 为 单位 指示 了 填充 字段 的 长 度 ,其 范围 


为 [G6;255]; 


(6) 下 一 个 头 (Next Header) 


8 位 字段 ,指明 了 封装 在 载荷 中 的 数据 类 型 ,例如 6 表示 TCP 数据 。 
(7) 验证 数据 (Authentication Data) 
变 长 字段 。 只 有 选择 了 验证 服务 时 才 会 有 该 字段 ,包含 了 验证 的 结果 。 


1033 ”ESP 运行 模式 


和 AH 一 样 ,ESP 也 有 两 种 运行 模式 :传输 模式 和 隧道 模式 。 


插入 的 位 置 以 及 保护 的 对 象 。 


1 ESP 传输 模式 


运行 模式 决定 了 ESP 


传输 模式 保护 的 是 IP 包 的 载荷 ,例如 TCP、UDP、ICMP 等 ,也 可 以 是 其 他 IPSec 协 
议 的 头 部 。ESP 插入 到 IP 头 部 ( 含 选项 字段 ) 之 后 ,任何 被 IP 协议 所 封装 的 协议 (如 传输 
层 协议 TCP`UDP ICMP ,或 者 IPSec 协议 ) 之 前 。 以 TCP 为 例 , 图 10-6 是 在 应 用 ESP 


传输 模式 前 后 的 IP 包 格式 。 


IP 头 部 ( 含 选 项 字段 ) 


TCP 头 部 ( 含 选项 字段 ) 


数据 


(a) 应 用 ESP 之 前 


IP 头 部 ( 含 选项 字段 ) 


ESP 头 部 


加 密 


区 
总 


TCP 头 部 ( 含 选项 字段 ) 


验证 区 域 


数据 


ESP 尾 部 


ESP 验 证 数据 


(b) 应 用 ESP 之 后 
图 10-6 ”ESP 传输 模式 


在 图 10-6 中 ,ESP 头 部 包含 SPI 和 序号 字段 ,ESP 尾部 包含 填充 填充 长 度 和 下 一 个 
头 字段 。 被 加 密 和 被 验证 的 区 域 在 图 中 已 经 表示 出 来 了 。 
如 果 使 用 了 加 密 ,SPI 和 序号 字段 不 能 被 加 密 。 首 先 , 在 接收 端 ,SPI 字段 用 于 和 源 


IP 地 址 、IPSec 协议 一 起 组 成 


个 三 元 组 来 唯一 确定 


个 SA, 利 用 该 SA 进行 验证 、 解 密 


等 后 续 处 理 。 如 果 SPI 被 加 密 了 ,要 解密 之 就 必须 找到 SA ,而 查找 SA 又 需要 SPI, 这 样 
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就 产生 了 类 似 于 “ 先 有 鸡 还 是 先 有 鸡蛋 ”的 问题 。 因 此 ,SPI 不 能 被 加 密 。 其 次 ,序号 字段 
用 于 判断 包 是 否 重复 ,从 而 可 以 防止 重 放 攻 击 。 序 号 字段 不 会 泄露 明文 中 的 任何 机 密 , 没 
有 必要 进行 加 密 。 不 加 密 序 号 字段 也 使 得 一 个 包 不 经 过 烦琐 的 解密 过 程 就 可 以 判断 包 是 
和 否 重复 ,如果 重复 则 丢弃 之 ,节省 了 时 间 和 资源 。 

如 果 使 用 了 验证 ,验证 数据 也 不 会 被 加 密 , 因 为 如 果 SA 需要 ESP 的 验证 服务 ,那么 
接收 端 会 在 进行 任何 后 续 处 理 ( 如 检查 重 放 、 解 密 ) 之 前 进行 验证 。 数 据 包 只 有 经 过 验证 
证 明 该 包 没有 经 过 任何 修改 ,是 可 以 信任 的 , 才 会 进行 后 续 处 理 。 

值得 注意 的 是 ,和 AH 不 同 ,ESP 的 验证 不 会 对 整个 IP 包 进 行 验证 ,IP 包头 部 ( 含 选 
项 字段 ) 不 会 被 验证 。 因 此 ,ESP 不 存在 像 AH 那样 的 和 NAT 模式 冲突 的 问题 。 如 果 通 
信 的 任何 一 方 具有 私有 地 址 或 者 在 安全 网 关 背 后 ,双方 的 通信 仍然 可 以 用 ESP 来 保护 其 
安全 ,因为 IP 头 部 中 的 源 / 目 的 IP 地 址 和 其 他 字段 不 被 验证 ,可 以 被 NAT 网 关 或 者 安 
全 网 关 修 改 。 

当然 ,ESP 在 验证 上 的 这 种 灵活 性 也 有 缺点 :除了 ESP 头 部 之 外 ,任何 IP 头 部 字段 
都 可 以 修改 ,只 要 保证 其 校 验 和 计算 正确 ,接收 端 就 不 能 检测 出 这 种 修改 。 所 以 ,ESP 传 
输 模式 的 验证 服务 要 比 AH 传输 模式 弱 一 些 。 如 果 需 要 更 强 的 验证 服务 并 且 通 信和 双方 
都 是 公有 IP 地 址 ,应 该 采用 AH 来 验证 ,或 者 将 AH 认证 与 ESP 验证 同时 使 用 。 


2 ESP 隧道 模 式 

隧道 模式 保护 的 是 整个 IP 包 , 对 整个 IP 包 进 行 加 密 。ESP 插入 到 原 IP 头 部 ( 含 选 
项 字段 ) 之 前 ,在 ESP 之 前 再 插入 新 的 IP 头 部 。 以 TCP 为 例 ,图 10-7 是 在 应 用 ESP 传 
输 模 式 前 后 的 IP 包 格式 。 

在 隧道 模式 下 ,有 两 个 IP 头 部 。 里 面 的 IP 头 部 是 原始 的 IP 头 部 ,含有 真实 的 源 IP 
地 址 .最 终 的 目的 IP 地 址 ;外 面 的 IP 头 部 可 以 包含 与 里 面 IP 头 部 不 同 的 IP 地 址 ,例如 ， 
可 以 是 NAT 网 关 的 IP 地 址 ,这 样 两 个 子 网 中 的 主机 可 以 利用 ESP 进行 安全 通信 。 

与 传输 模式 一 样 ,ESP 头 部 含有 SPI 和 序号 字段 ;ESP 尾部 含有 填充 .填充 头 部 和 下 
一 个 头 字段 ;如 果 选 用 了 验证 ,ESP 的 验证 数据 字段 中 包含 了 验证 数据 。 同 样 ,ESP 头 部 
和 ESP 验证 数据 字段 不 被 加 密 。 

隧道 模式 中 的 加 密 和 验证 的 范围 如 图 10-7 所 示 ,内 部 IP 头 部 被 加 密 和 验证 ,而 外 部 
IP 头 部 既 不 被 加 密 也 不 被 验证 。 不 被 加 密 是 因为 路 由 器 需要 这 些 信 息 来 为 其 寻找 路 由 ; 
不 被 验证 是 为 了 能 适用 于 NAT 等 情况 。 

重要 的 是 ,ESP 隧道 模式 的 验证 和 加 密 能 够 提供 比 ESP 传输 模式 更 加 强大 的 安全 功 
能 ,因为 隧道 模式 下 对 整个 原始 IP 包 进 行 验 证 和 加 密 , 可 以 提供 数据 流 加 密 服务 ;而 ESP 
在 传输 模式 下 不 能 提供 流 加 密 服务 ,因为 源 、 目 的 IP 地 址 不 被 加 密 。 

不 过 ,隧道 模式 下 将 占用 更 多 的 带宽 ,因为 隧道 模式 要 增加 一 个 额外 的 IP 头 部 。 因 
此 ,如 果 带 宽 利用 率 是 一 个 关键 问题 , 则 传输 模式 更 合适 。 

尽管 ESP 隧道 模式 的 验证 功能 不 像 AH 传输 模式 或 隧道 模式 那么 强大 ,但 ESP 隧 
道 模式 提供 的 安全 功能 已 经 足够 了 。 
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IP 头 部 ( 含 选项 字段 ) 


TCP 头 部 ( 含 选项 字段 ) 


数据 


(a) 应 用 ESP 之 前 


新 IP 头 部 ( 含 选 项 字段 ) 
ESP 头 部 

IP 头 部 ( 含 选 项 字段 ) 

TCP 头 部 ( 含 选项 字段 ) 

数据 

ESP 尾部 

ESP 验证 数据 


验证 


区 
总 


加 密 区 域 


(b) 应 用 ESP 之 后 
图 10-7 ESP 隧道 模式 


1 ”ISAKMP 协议 


1041 ISAKVP 概 述 


ISAKMP(Internet Security Association Key Management Protocol, Internet 安全 联 
盟 密 钥 管理 协议 ) 由 RFC2408 定义 ,定义 了 协商 、 建 立 .修改 和 删除 SA 的 过 程 和 包 格 式 。 
ISAKMP 只 是 为 SA 的 属性 和 协商 、 修 改 、 删 除 SA 的 方法 提供 了 一 个 通用 的 框架 ,并 没 
有 定义 具体 的 SA 格式 。ISAKMP 没有 定义 任何 密 钥 交换 协议 的 细节 ,也 没有 定义 任何 
具体 的 加 密 算法 、 密 钥 生 成 技术 或 者 认证 机 制 。 这 个 通用 的 框架 是 与 密 钥 交换 独立 的 ,可 
以 被 不 同 的 密 钥 交换 协议 使 用 。 

ISAKMP 报 文 可 以 利用 UDP 或 者 TCP ,端口 都 是 500 ,一 般 情况 下 常用 UDP 协议 。 

ISAKMP 双方 交换 的 内 容 称 为 载荷 (payload) ,ISAKMP 目前 定义 了 13 种 载荷 ,一 
个 载荷 就 像 积木 中 的 一 个 “小 方块 ”", 这 些 载 荷 按 照 某 种 规则 “又 放 ” 在 一 起 ,然后 在 最 前 面 
添加 上 ISAKMP 头 部 ,这 样 就 组 成 了 一 个 ISAKMP 报 文 ,这 些 报 文 按 照 一 定 的 模式 进行 
交换 ,从 而 完成 SA 的 协商 修改 和 删除 等 功能 。 

在 讨论 具体 载荷 之 前 , 先 看 看 ISAKMP 载荷 头 部 格式 。 


1042 ISAKVP 包 头 部 格式 


ISAKMP 报 文 的 头 部 是 固定 长 度 的 ,包含 了 维护 状态 .处 理 载 荷 必 要 的 信息 ; 头 部 后 
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面 的 载荷 数目 不 定 。ISAKMP 报 文 头 部 格式 如 图 10-8 所 示 。ISAKMP 报 文 头 部 格式 包 
括 以 下 内 容 。 


0 . 15 23 31 


发 起 方 Cookie 


应 等 方 Cookie 


下 一 个 载荷 ”| 主 版 本 | 次 版 本 交换 类 型 标志 
消息 ID 
报 文 长 度 


图 10-8 ISAKMP 报 文 头 部 


(1) 发 起 方 Cookie(Initiator Cookie) 

发 起 方 的 Cookie, 长 度 为 64 位 (8 字 节 )。Cookie 可 以 帮助 通信 双方 确认 一 个 
ISAKMP 报 文 是 否 真 的 来 自 对 方 。 在 发 起 方 .如 果 收 到 的 某 报 文 的 应 答 方 Cookie 字段 
和 以 前 收 到 的 该 字段 不 同 , 则 丢弃 该 报 文 ;同样 ,在 应 答 方 ,如 果 收 到 的 某 报 文 的 发 起 方 
Cookie 和 以 前 收 到 的 该 字段 不 同 , 则 丢弃 该 报 文 。 这 种 机 制 可 以 防止 DOS 攻击 。 

尽管 Cookie 的 生成 方法 在 实现 不 同 的 ISAKMP 时 可 能 不 同 , 但 无 论 发 起 方 还 是 响 
应 方 ,Cookie 必须 满足 两 个 条 件 : DCookie 必须 是 用 各 自 的 机 密 信 息 生 成 的 ,该 机 密 信 
息 不 能 从 Cookie 中 推导 出 来 ; @ 对 于 一 个 SA ,其 Cookie 是 唯一 的 ,也 就 是 说 对 于 一 次 
SA 协商 过 程 ,Cookie 不 能 改变 。 

常用 的 一 个 生成 Cookie 的 方法 是 对 下 述 信息 进行 HASH (MD5、SHAI1 或 其 他 
HASH 算法 ) 之 后 , 取 结 果 的 前 64 位 : 

源 IP 地 址 十 目的 IP 地 址 十 UDP 源 端 口 二 UDP 目的 端口 十 随机 数 十 当前 日 期 十 当前 
时 间 

(2) 应 答 方 Cookie(Responder Cookie) 

应 答 方 的 Cookie, 紧 跟 在 发 起 方 Cookie 之 后 ,长度 为 64 位 (8 字 节 ) 。 

(3) 下 一 个 载荷 (Next Payload) 

表示 紧 跟 在 ISAKMP 头 部 之 后 的 第 一 个 载荷 的 类 型 值 。 目 前 定义 了 13 种 载荷 ,类 
型 值 如 表 10-2 所 示 。 


表 10-2 ISAKMP 定义 的 载荷 类 型 值 


载荷 类 型 值 
None 0 
SA 载荷 (Security Association) | 
建议 载荷 (proposal) 区 
变换 载荷 (transform) 者 
密 钥 交换 载荷 (Key Exchange) 4 
身份 载荷 (identification) 5 
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续 表 

载荷 类 型 值 
证 书 载荷 (certificate) 6 
证 书 请 求 载荷 (Certificate Request) 7 
HASH 载荷 (Hash) 8 
签名 载荷 (signature) 9 
NONCE 载荷 (nonce) 10 
通知 载荷 Cnotification) 11 
删除 载荷 (delete) 12 
厂商 载荷 (vendor) 13 
保留 14~127 
私有 用 途 128 一 255 


(4) 主 版 本 (Major Version) 

长 度 为 4 位 ,表示 ISAKMP 协议 的 主 版 本 号 。 

(5) 次 版 本 (Minor Version) 

长 度 为 4 位 ,表示 ISAKMP 协议 的 次 版 本 号 。 

(6) 交换 类 型 (Exchange Type) 

长 度 为 8 位 ,表示 该 报 文 所 属 的 交换 类 型 。 目 前 定义 了 5 种 交换 类 型 ,如 表 10-3 所 示 。 

(7) 标志 (Flags) 

长 度 为 8 位 ,目前 只 有 后 3 位 有 用 ,其 余 保留 ,用 0 填充 。 后 3 位 的 含义 从 最 后 一 位 
往 前 依次 为 : 

。 加 密 位 (encryption) ,0x01。 加 密 位 如 果 是 1, 表 示 ISAKMP 头 部 后 面 的 所 有 载荷 

都 被 加 密 了 ;如 果 是 0, 表 示 载 荷 是 明文 ,没有 加 密 。 
。 提交 位 (commit) ,0x02 。 
。 纯 验 证 位 (Authentication Only) ,0x04。 


表 10-3 ISAKMP 交换 类 型 


交换 类 型 值 
None 0 
基本 交换 (base) 1 
身份 包含 交换 (Identity Protection) 2 
纯 认 证 交换 (Authentication Only) 汪 
积极 交换 (aggressive) 4 
信息 交换 (informational) 5 
ISAKMP 将 来 使 用 6~31 
DOI 专 用 32~239 
私有 用 途 240 一 255 
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(8) 报 文 ID(Message ID) 

长 度 32 位 ,包含 的 是 由 第 二 阶段 协商 的 发 起 方 生成 的 随机 值 ,这 个 唯一 的 报 文 标识 
可 以 唯一 确定 第 二 阶段 的 协议 状态 。 

(9) 报 文 长 度 (length) 

长 度 32 位 ,以 字 节 为 单位 表示 了 ISAKMP 整个 报 文 ( 头 部 十 若干 载荷 ) 的 总 长 度 。 


1043 ”ISAKNP 载 荷 头 部 


不 论 何 种 载荷 ,都 有 一 个 相同 格式 的 载荷 头 部 ,图 10-9 表示 了 这 个 通用 的 载荷 头 部 
格式 。 载 荷 头 部 格式 包括 以 下 内 容 。 
0 本 15 31 
下 一 个 载荷 保留 载荷 长 度 


图 10-9 载荷 头 部 


(1) 下 一 个 载荷 (Next Payload) 

8 位 字段 ,表示 紧 跟 在 本 载荷 后 面 的 下 一 个 载荷 的 类 型 。 通 过 该 字段 ,不 同 的 载荷 可 
以 像 链 条 一 样 链 接 起 来 ,每 个 载荷 的 类 型 都 在 前 一 个 载荷 中 指明 ,第 一 个 载荷 的 类 型 在 
ISAKMP 头 部 中 指明 ,最 后 一 个 载荷 的 Next Payload 类 型 为 0, 从 而 指明 这 是 最 后 一 个 
载荷 。 

(2) 保留 (reserved) 

保留 用 ,8 位 字段 ,全 0。 

(3) 载荷 长 度 (Payload Length) 

以 字 节 为 单位 表示 的 载荷 长 度 (包括 载荷 头 部 ),16 位 字段 ,该 字段 定义 了 每 个 载荷 
的 边界 。 


1044 1ISAKVP 载 荷 


1 SA 载荷 

SA 载荷 用 于 协商 SA, 并 且 指 出 协商 发 生 的 环境 ,也 就 是 DOI。ISAKMP 协议 只 是 
为 协商 ,修改 、 删 除 SA 的 过 程 定义 了 一 个 框架 ,而 SA 的 内 容 、SA 的 属性 、 某 些 载荷 的 特 
定 字 段 等 还 需要 应 用 ISAKMP 的 协议 来 具体 定义 和 实现 ,这 些 具 体 的 实现 就 构成 了 
DOI, 比 如 正在 讨论 的 IPSec 就 是 一 种 DOI。 


2 建议 载荷 (Proposal) 
建议 载荷 包含 的 是 在 SA 协商 过 程 中 用 到 的 信息 。 该 载荷 提供 了 一 个 框架 ,利用 这 
个 框架 发 起 方向 接收 方 发 送 自己 的 建议 ,例如 期 望 的 IPSec 协议 和 其 他 安全 机 制 。 
3 变换 载荷 (tansiom 
变换 载荷 包括 变换 编号 (Transform Number) 和 变换 ID(Transform ID) ;前 者 表示 本 
载荷 在 建议 载荷 中 的 编号 ,后 者 确定 变换 ID 取 值 。 
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4 密 钥 交换 载荷 (Key Bchange) 

密 钥 交换 载荷 用 于 传输 密 钥 交换 数据 ,这 个 载荷 不 局 限于 任何 密 钥 交换 协议 。 除 了 
通用 载荷 头 部 外 ,该 载荷 只 包含 一 个 变 长 的 密 钥 交换 数据 字段 ,该 字段 的 组 成 格式 及 如 何 
解释 由 具体 的 密 钥 交换 协议 具体 定义 ,因此 ,该 载荷 适用 于 任何 通常 用 的 密 钥 交换 协议 。 

5 身份 载荷 (identification) 

通信 双方 利用 身份 载荷 互相 交换 身份 信息 。 在 SA 协商 的 时 候 , 发 起 方 要 通过 该 载 
荷 告 诉 对 方 自己 的 身份 ,而 响应 方 利 用 发 起 方 的 身份 来 决定 应 该 采用 何 种 安全 策略 。 

6 证 书 载荷 (certficate) 

证 书 载荷 允许 通信 双方 交换 各 自 的 证 书 ,或 者 与 证 书 相关 的 其 他 内 容 。 


7. 证书 请 求 载荷 (Certificate Request) 

通信 双方 可 以 利用 证 书 请 求 载荷 来 请 求 对 方 发 送 证 书 。 一 方 在 收 到 该 请 求 后 ,如 果 
支持 证 书 , 就 必须 利用 证 书 载荷 来 发 送 对 方 所 请 求 的 证 书 。 如 果 有 多 个 证 书 , 请 求 方 就 必 
须发 送 多 次 证 书 请 求 载荷 ,接收 方 发 送 多 次 证 书 载荷 。 

8 哈 希 (Hsh) 载 荷 

哈 希 载荷 包含 的 是 Hash 验证 函数 产生 的 数据 ,该 函数 是 SA 协商 过 程 中 双方 协商 出 
来 的 Hash 函数 。Hash 数据 一 般 用 于 验证 包含 在 ISAKMP 报 文中 的 其 余部 分 数据 的 完 
整 性 ,或 者 对 协商 实体 进行 鉴别 。 


9 签名 载荷 (signature) 

签名 载荷 包含 由 数字 签名 函数 所 产生 的 数据 ,该 函数 是 SA 协商 过 程 中 双方 协商 出 
来 的 。 此 载荷 用 来 认证 ISAKMP 报 文 的 完整 性 ,还 可 用 作 不 可 否认 服务 。 

10. Nonce 载荷 

Nonce 载荷 包含 在 交换 期 间 用 于 保证 存活 和 防止 重 放 攻击 的 随机 数 。 如 果 Nonce 
用 于 特殊 的 密 钥 交换 协议 ,Nonce 载荷 的 使 用 将 由 该 密 钥 交换 机 制 来 指定 。Nonce 可 作 
为 密 钥 交换 载荷 的 交换 数据 的 一 部 分 ,或 作为 一 个 独立 的 载荷 发 送 。 具 体 如 何 发 送 ,由 密 
钥 交 换 来 定义 ,而 不 是 ISAKMP。 

11. 通知 载荷 (notification) 

通知 载荷 用 于 告知 对 方 一 些 信息 ,例如 错误 状态 。 

全 删除 载荷 (daete) 

通信 一 方 利用 删除 载荷 告诉 对 方 自己 已 经 从 SAD 中 删除 给 定 IPSec 协议 (IAKMP、 
AH 或 者 ESP) 的 SA。 注意 :删除 载荷 并 不 是 命令 对 方 删除 SA ,而 是 建议 对 方 删除 SA。 
如 果 对 方 选择 忽略 该 删除 载荷 , 则 对 方 以 后 再 使 用 该 SA 所 发 送 的 报 文 将 失败 。 另 外 ,对 
于 该 删除 报 文 不 需要 对 方 应 答 , 也 就 是 说 对 方 不 需要 返回 删除 是 否 成 功 的 报 文 。 

13 厂商 ID 载荷 (Vender ID) 

厂商 ID 载荷 用 于 传输 厂商 定义 的 常数 。 这 个 机 制 允许 厂商 在 维持 向 后 兼容 性 的 同 
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时 ,试验 新 的 特性 。 
1045 ISAKVP 协 商 阶段 


ISAKMP 的 协商 过 程 分 为 两 个 阶段 :阶段 1 和 阶段 2。 两 个 阶段 所 协商 的 对 象 不 同 ， 
但 协商 过 程 的 交换 方式 ( 见 10. 4.6 小 节 ) 是 由 ISAKMP 定义 的 或 者 由 密 钥 交 换 协 议 ( 如 
IKE) 定 义 的 。 

(1) 阶段 1 

这 个 阶段 要 协商 的 SA 可 以 称 为 ISAKMP SA( 在 IKE 中 可 以 称 为 IKE SA) ,该 SA 
是 为 了 保证 阶段 2 的 安全 通信 。 

(2) 阶段 2 

这 个 阶段 要 协商 的 SA 是 密 钥 交换 协议 最 终 要 协商 的 SA, 当 IKE 为 IPSec 协商 时 可 
以 称 为 IPSec SA, 是 保证 AH 或 者 ESP 的 安全 通信 。 阶 段 2 的 安全 由 阶段 1 的 协商 结果 
来 保证 。 阶 段 1 所 协商 的 一 个 SA 可 以 用 于 协商 多 个 阶段 2 的 SA。 


1046 交换 类 型 


ISAKMP 定义 了 5 种 交换 类 型 。 交 换 类 型 定义 的 是 在 通信 双方 所 传送 的 载荷 的 类 
型 和 顺序 ,比如 一 方 先 发 送 什么 载荷 , 另 一 方 应 如 何 应 答 等 。 这 些 交换 模式 的 区 别 在 于 对 
传输 信息 的 保护 程度 不 同 ,并 且 传 输 的 载荷 多 少 也 不 同 。5 种 交换 类 型 分 别 是 ， 

(1) 基本 交换 (Base Exchange) 。 

(2) 身份 保护 交换 (Identity Protection Exchange) 。 

(3) 纯 认 证 交换 (Authentication Only Exchange) 。 

(4) 积极 交换 (Aggressive Exchange) 。 

(5) 信息 交换 (Informational Exchange) 。 


10.5 IKE 协议 


1 IKE 概 述 

IKE 是 一 种 混合 型 协议 ,由 RFC2409 定义 ,包含 了 3 个 不 同 协议 的 有 关 部 分 : 
ISAKMP Oakley 和 SKEME。IKE 和 ISAKMP 的 不 同 之 处 在 于 :IKE 真正 定义 了 一 个 
密 钥 交换 的 过 程 , 而 ISAKMP 只 是 定义 了 一 个 通用 的 可 以 被 任何 密 钥 交 换 协 议 使 用 的 
框架 。 

IKE 为 IPSec 通信 双方 提供 密 钥 材料 ,这 个 材料 用 于 生成 加 密 密 钥 和 验证 密 钥 。 另 
外 ,IKE 也 为 IPSec 协议 AH 和 ESP 协商 SA。 

IKE 中 有 4 种 身份 认证 方式 : 

(1) 基于 数字 签名 (Digital Signature) ,利用 数字 证 书 来 表示 身份 ,利用 数字 签名 算法 
计算 出 一 个 签名 来 验证 身份 。 

(2) 基于 公开 密 钥 (Public Key Encryption) ,利用 对 方 的 公开 密 钥 加 密 身 份 ,通过 检 
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查 对 方 发 来 的 该 HASH 值 作 认证 。 
(3) 基于 修正 的 公开 密 钥 (Revised Public Key Encryption) ,对 上 述 方式 进行 修正 。 
(4) 基于 预 共享 字符 串 (Pre-Shared Key) ,双方 事先 通过 某 种 方式 商定 好 一 个 双方 共 
享 的 字符 串 。 


2 IKE 交换 模式 

IKE 目前 定义 了 4 种 模式 : 主 模式 、 积 极 模式 、 快 速 模式 和 新 组 模式 。 前 面 3 个 用 了 
协商 SA, 最 后 一 个 用 于 协商 Diffie-Hellman 算法 所 用 的 组 。 主 模式 和 积极 模式 用 于 第 一 
阶段 ;快速 模式 用 于 第 二 阶段 ;新 组 模式 用 于 在 第 一 个 阶段 后 协商 新 的 组 。 


10.6 本 章 小 结 


nl 


IPSec 是 用 于 保护 IP 层 通 信安 全 的 机 制 , 由 若干 RFC 文件 和 Internet 草案 进行 定 
义 , 而 不 是 一 个 单独 的 协议 。 

安全 策略 用 于 定义 对 数据 包 的 处 理 方式 ,存储 在 安全 策略 数据 库 中 ;IPSec 双方 利用 
安全 联盟 中 的 参数 对 需要 进行 IPSec 处 理 的 包 进 行 IPSec 处 理 , 安 全 联盟 存储 在 安全 联 
盟 数据 库 中 。 

传输 模式 和 隧道 模式 的 区 别 在 于 保护 的 对 象 不 同 ,传输 模式 要 保护 的 内 容 是 IP 包 的 
载荷 ,而 隧道 模式 要 保护 的 是 整个 IP 包 。 

对 IP 包 进行 的 IPSec 处 理 有 两 种 :AH 和 ESP。AH 提供 无 连接 的 数据 完整 性 、 数 
据 来 源 验证 和 抗 重 放 攻击 服务 ;而 ESP 除了 提供 AH 的 这 些 功能 外 ,还 可 以 提供 对 数据 
包 加 密 和 数据 流量 加 密 。 虽 然 AH 和 ESP 都 提供 验证 服务 ,但 AH 的 验证 范围 要 比 ESP 
更 大 ,包含 了 源 和 目的 IP 地 址 ,因此 造成 了 AH 协议 和 NAT 的 冲突 ,而 ESP 则 不 存在 这 
种 问题 。 

IKE 协议 由 3 种 协议 混合 而 来 :ISAKMP、Oakley 和 SKEME。ISAKMP 协议 为 
IKE 提供 了 密 钥 交换 和 协商 的 框架 ;Oakley 提供 了 组 的 概念 ;SKEME 定义 了 验证 密 钥 
交换 的 一 种 类 型 。 

IKE 协议 的 密 钥 交换 采用 Diffie-Hellman 算法 ;IKE 协议 有 4 种 模式 : 主 模式 、 积 极 
模式 ,快速 模式 和 新 组 模式 。 


习 题 
1. IPSec 协议 和 (”)VPN 隧道 协议 处 于 同一 层 。 
A. PPTP B: TL2TE C. GRE D. 以 上 皆 是 


2. AH 协议 中 必须 实现 的 验证 算法 是 ( )。 
A. HMAC-MD5 和 HMAC-SHAI1 B. NULL 
C. HMAC-RIPEMD-160 D. 以 上 皆 是 
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3. ESP 协议 中 不 是 必须 实现 的 验证 算法 的 是 ( 


Ns 


A. HMAC-MD5 B. HMAC-SHA1 
MULL D. HMAC-RIPEMD-160 
4. ESP 协议 中 必须 实现 的 加 密 算法 是 ( ) 。 
A. 仅 DES-CBC B. 仅 NULL 
C. DES-CBC 和 NULL D. 3DES-CBC 
5. ( ) 协 议 必须 提供 验证 服务 。 
A. AH B. ESP C. GRE D. 以 上 篆 是 
6. IKE 协商 的 第 一 阶段 可 以 采用 ( )。 
A. 主 模 式 ,快速 模式 B. 快速 模式 ,积极 模式 
C. 主 模式 积极 模式 D. 新 组 模式 
7. IKE 协议 由 (”) 协 议 混合 而 成 。 
A. ISAKMP.Oakley .SKEME B. AH.ESP 
C. L2TP.GRE D. 以 上 篆 不 是 
8. 下 列 协议 中 ,( ) 协 议 的 数据 可 以 受到 IPSec 的 保护 。 
A. TCP.UDP\IP B. ARP C. RARP D. 以 上 篆 可 以 


9. 为 什么 AH 协议 和 NAT 冲突 ? 


10. 简 述 IKE 协议 的 几 种 模式 ,以 及 每 一 种 模式 的 作用 和 特点 。 
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本 章 要 点 : 

。， 黑 客 攻击 的 动机 ; 

。 黑客 攻击 的 流程 

。 黑客 攻击 使 用 的 主要 方法 和 技巧 ; 
。 针对 不 同 网 络 的 攻击 方法 。 


11.1 黑客 的 动机 


黑客 的 动机 究 竞 是 什么 ? 在 回答 这 个 问题 前 ,应 对 黑客 的 种 类 有 所 了 解 , 原 因 是 不 同 
种 类 的 黑客 动机 有 着 本 质 的 区 别 。 从 黑客 行为 上 划分 ,黑客 有 “善意 ”与 “恶意 ”两 种 , 即 所 
谓 的 白 帽 (White Hat) 及 黑 帽 (Black Hat)。 白 帽 利 用 他 们 的 技能 做 一 些 善事 ,而 黑 帽 则 
利用 他 们 的 技能 做 一 些 恶 事 。 白 帽 长 期 致力 于 改善 计算 机 社会 及 其 资源 ,为 了 改善 服务 
质量 及 产品 ,他们 不 断 寻找 弱点 及 脆弱 性 并 公布 于 众 。 例 如 ,为 了 找 出 程序 的 安全 漏洞 ， 
帮助 生产 厂家 改进 他 们 的 产品 , 白 帽 做 了 大 量 的 安全 上 的 测试 工作 。 他 们 所 做 的 工作 实 
际 上 是 一 种 公众 测试 形式 。 与 白 帽 的 动机 相反 , 黑 帽 主要 从 事 一 些 破坏 活动 ,从 事 的 是 一 
种 犯罪 行为 。 大 量 的 案例 分 析 表 明 黑 帽 具有 以 下 主要 犯罪 动机 。 

(1) 好 奇 心 

许多 黑 帽 声称 ,他 们 只 是 对 计算 机 及 电话 网 感到 好 奇 ,希望 通过 探究 这 些 网 络 更 好 地 
了 解 它们 是 如 何 工 作 的 。 

(2) 个 人 声望 

通过 破坏 具有 高 价值 的 目标 以 提高 在 黑客 社会 中 的 可 信 度 及 知名 度 。 

(3) 智力 挑战 

为 了 向 自己 的 智力 极限 挑战 或 为 了 向 他 人 炫 炮 , 证 明 自 己 的 能 力 , 他 们 热衷 于 黑客 的 
传说 。 将 自己 想像 成 网 络 上 无 所 不 能 的 骑士 与 国王 。 将 网 络 人 侵 作 为 寻求 刺激 的 最 佳 
方法 。 

(4) 窃取 情报 

在 Internet 上 监视 个 人 .企业 及 竞争 对 手 的 活动 信息 及 数据 文件 ,以 达到 窍 取 情 报 的 
目的 。 

(5) 报复 

计算 机 罪犯 感到 其 雇主 本 该 提升 自己 、 增 加 薪水 或 以 其 他 方式 承认 他 的 工作 。 计 算 
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机 犯罪 活动 成 为 他 反击 雇主 的 方法 ,也 希望 借 此 引起 别人 的 注意 。 

(6) 获取 非法 利益 

有 相当 一 部 分 计算 机 犯罪 是 为 了 赚 取 金钱 。 网 络 与 现实 的 相关 性 不 断 地 增 大 ,使 得 
盗窃 ,抢劫 这 种 现实 中 的 犯罪 行为 在 网 络 中 以 新 的 形式 出 现 。 他 们 攻击 与 利益 相关 的 网 
站 (银行 .购物 .稀缺 资源 提供 者 ) 非 法 获取 利益 ;盗窃 他 人 的 虚拟 资产 (账户 盗用 ) ,给 网 络 
金融 和 网 络 社区 都 造成 了 很 大 的 威胁 。 

(7) 政治 目的 

任何 政治 因素 都 会 反映 到 网 络 领 域 。 主 要 表现 有 : 敌对 国之 间 利 用 网 络 的 破坏 活 
动 ; @ 个 人 及 组 织 对 政府 不 满 而 产生 的 破坏 活动 。 这 类 黑 帽 的 动机 不 是 钱 ,几乎 永远 都 
是 为 政治 ,一般 采用 的 手法 包括 更 改 网 页 . 植 人 计算 机 病毒 等 。 


112 ”黑客 攻击 的 流程 


尽管 黑客 攻击 系统 的 技能 有 高 低 之 分 ,入 侵 系 统 手 法 多 种 多 样 ,但 他 们 对 目标 系统 实 
施 攻击 的 流程 却 大 致 相同 。 其 攻击 过 程 可 归纳 为 以 下 9 个 步骤 : 踩点 (foot printing) , 扫 
描 (scanning)、 查 点 (enumeration) ,获取 访问 权 (gaining access)、 权 限 提 升 (escalating 
privilege) 、 窃 取 (pilfering) , 掩 闵 踪 迹 (covering track) 、 创 建 后 门 (creating back doors) 和 
拒绝 服务 攻击 (denial of services) 。 黑 客 攻击 流程 如 图 11-1 所 示 。 


踩点 使 用 Whois,DNS ,Google 收集 目 
一 祭 信息 
| 利用 踩点 结果 ,查看 目标 系统 在 哪 

扫描 些 通道 使 用 哪些 服务 ,以 及 使 用 的 是 
| 什么 操作 系统 等 
a 根据 扫描 ,使 用 与 特定 操作 系统 / 

查 点 服务 相关 技术 收集 用 户 账户 、 共 享 

资源 及 export 等 信息 
获取 访问 权 发 起 攻击 
wy ~ 
BS ey 
试图 成 为 Admin/root 或 超级 用 户 


拒绝 服务 攻击 权限 提升 | 


es 改变 、 添加、 删除 及 复制 用 户 
窃取 数据 


掩盖 踪迹 修改 /删除 系统 日 志 


创建 后 门 为 以 后 再 次 入 侵 做 准备 


图 11-1 黑客 攻击 流程 图 
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1121 踩点 


“踩点 ”原意 为 策划 一 项 盗窃 活动 的 准备 阶段 。 举 例 来 说 , 当 盗 贼 决定 抢劫 一 家 银行 
时 ,他们 不 会 大 摇 大 摆 地 走 进 去 直接 要 钱 , 而 是 狠 下 一 番 工 夫 来 搜集 这 家 银行 的 相关 信 
息 ,包括 武装 押运 车 的 路 线 及 运送 时 间 、 摄 像 头 的 位 置 .逃跑 出 口 等 信息 。 在 黑客 攻击 领 
域 ， 踩 点 ?是 传统 概念 的 电子 化 形式 。“ 踩 点 ”的 主要 目的 是 获取 目标 的 如 下 信息 : 
。 因特网 网 络 域名 ` 网 络 地 址 分 配 ,域名 服务 器 .邮件 交换 主机 和 网 关 等 关键 系统 的 
位 置 及 软 硬 件 信息 。 
。 内 联网 与 Internet 内 容 类 似 , 但 主要 关注 内 部 网 络 的 独立 地 址 空间 及 名 称 空 间 。 
。 远程 访问 模拟 /数字 电话 号 码 和 VPN 访问 点 。 
外 联网 与 合作 伙伴 及 子 公司 的 网 络 的 连接 地 址 、 连 接 类 型 及 访问 控制 机 制 。 
。 开放 资源 未 在 前 4 类 中 列 出 的 信息 ,例如 Usenet、 雇 员 配 置 文 件 等 。 
为 达到 以 上 目的 ,黑客 常 采 用 以 下 技术 。 


1 开放 信息 源 搜索 

通过 一 些 标准 搜索 引擎 ,揭示 一 些 有 价值 的 信息 。 例 如 ,通过 使 用 Usenet 工具 检索 
新 闻 组 Cnewsgroup) 工 作 帖 子 , 往 往 能 揭示 许多 有 用 的 东西 。 通 过 使 用 Google 检索 Web 
的 根 路 径 C: \\Inetpub ,揭示 出 目标 系统 为 Windows NT/2000。 对 于 一 些 配置 过 于 粗心 
大 意 的 服务 器 ,利用 搜索 引擎 甚至 可 以 获得 passwd 等 重要 的 安全 信息 文件 。 


2 whois 查询 

whois 是 目标 Internet 域名 注册 数据 库 。 目 前 ,可 用 的 whois 数据 库 很 多 ,例如 , 查 
询 com,net,edu 及 org 等 结尾 的 域名 可 通过 http: //www. networksolutions. com 得 到 ， 
而 查询 美国 以 外 的 域名 则 应 通过 查询 http://www. allwhois. com 得 到 相应 whois 数据 
库 服务 器 的 地 址 后 完成 进一步 的 查询 。 通 过 对 whois 数据 库 的 查询 ,黑客 能 够 得 到 以 下 
用 于 发 动 攻击 的 重要 信息 : 

。 注册 机 构 ,得 到 特定 的 注册 信息 和 相关 的 whois 服务 器 ; 

。 机 构 本 身 ,得 到 与 特定 目标 相关 的 全 部 信息 ; 
域名 ,得 到 与 某 个 域名 相关 的 全 部 信息 ; 
。 网 络 , 得 到 与 某 个 网 络 或 IP 相关 的 全 部 信息 ; 
联系 点 (POC) ,得 到 与 某 个 人 (一 般 是 管理 联系 人 ) 的 相关 信息 。 
例如 ,下 面 是 通过 http://www. networksolutions. com 查询 到 的 IBM 公司 的 信息 。 


Registrant: 
JIEM Corporation (IEM DOM) 
Old Orchard Rd. 
Armonk, NY 10504 
US 
Domain Name: IEM.OM 
Poministrative Contact,Technical Contact: 
Trio, Nicholas R(SZEHGULEPT)nrtQ WATSON.IEM.OM 
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PO BOX 218 

YORKIONN HTS,NY10598-0218 

US 

(914) 945- 1850 123 123 1234 
Record expires on 20 Mar 2005. 
Record created on 19 Mar 1986. 
Database last updated on 8May 2003 21:18:57 EDT. 
Domain servers in listed order: 
NS .WATSON. IEM.0CMI29.34.20.80 
NS.AIMADEN. IEM.OMI198.4.83.35 
NS.AUSTIN. IEM.O0MI%.35.232.34 
NS.ERS. TEM.OMP04.146.173.35 


3. DNS 区 域 传送 

DNS 区 域 传送 是 一 种 DNS 服务 器 的 元 余 机 制 。 通 过 该 机 制 , 辅 DNS 服务 器 能 够 从 
其 主 DNS 服务 器 更 新 自己 的 数据 ,以 便 主 DNS 服务 器 不 可 用 时 , 辅 DNS 服务 器 能 够 接 
替 主 DNS 服务 器 工作 。 正 常情 况 下 ,DNS 区 域 传送 操作 只 对 辅 DNS 服务 器 开放 。 然 
而 , 当 系 统管 理 员 配 置 错误 时 ,将 导致 任何 主机 均 可 请 求 主 DNS 服务 器 提供 一 个 区 域 数 
据 的 备份 ,以 致 目标 域 中 所 有 主机 信息 泄露 。 能 够 实现 DNS 区 域 传送 的 常用 工具 有 dig， 
nslookup 及 Windows 版 本 的 Sam Spade( 其 网 址 为 http: //www. samspade. org) 。 


11.22 扫描 


通过 踩点 已 获得 一 定 信息 (IP 地 址 范围 .DNS 服务 器 地 址 和 邮件 服务 器 地 址 等 ), 下 
一 步 需要 确定 目标 网 络 范围 内 哪些 系统 是 “活动 ”的 ,以 及 它们 提供 哪些 服务 。 与 盗窃 案 
之 前 的 踩点 相 比 ,扫描 就 像 是 辨别 建筑 物 的 位 置 并 观察 它们 有 哪些 门窗 。 扫 描 的 主要 目 
的 是 使 攻击 者 对 攻击 的 目标 系统 所 提供 的 各 种 服务 进行 评估 ,以 便 集中 精力 在 最 有 希望 
的 途径 上 发 动 攻击 。 

扫描 中 采用 的 主要 技术 有 Ping 扫射 (Ping Sweep)、TCP/UDP 端口 扫描 、 操 作 系 统 
检测 及 旋 标 (banner) 的 获取 。 


1 Ping 扫 射 

Ping 扫射 是 判别 主机 是 否 “活动 * 的 有 效 方式 。Ping 用 于 向 目标 主机 发 送 ICMP 回 
射 请 求 (Echo Request) 分 组 ,并 期 待 由 此 引发 的 表明 目标 系统 “活动 ”的 回 射 应 答 (Echo 
Reply) 分 组 。 常 用 的 Ping 扫射 工具 有 操作 系统 的 Ping 命令 及 用 于 扫射 网 段 的 fping， 
WS _ping 等 。 

2 端口 扫描 

端口 扫描 就 是 连接 到 目标 机 的 TCP 和 UDP 端口 上 ,确定 哪些 服务 正在 运行 及 服务 的 
版 本 号 ,以 便 发 现 相应 服务 程序 的 漏洞 。 著 名 的 扫描 工具 有 UNIX 系统 上 运行 的 Netcat 
(http: //www. atstake. com/research/tools/network utilities) 及 Nmap (http://www. 
insecure. org/ nmap) ,Windows 系统 上 运行 的 superscan(http: //www. webattack. com/get/ 
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superscan. shtml) 及 NetScan Tool Pro 2003(http: //www. nwpsw. com) 。 


3 操作 系统 检测 

由 于 许多 漏洞 是 和 操作 系统 紧密 相关 的 ,因此 ,确定 操作 系统 类 型 对 于 黑客 攻击 目标 
来 说 也 十 分 重要 。 目 前 用 于 探测 操作 系统 的 技术 主要 可 以 分 为 两 类 : 利用 系统 旗 标 信息 
和 利用 TCP/IP 堆栈 指纹 。 每 种 技术 进一步 细 分 为 主动 鉴别 及 被 动 鉴别 。 目 前 ,常用 的 
检测 工具 有 Nmap, Queso (http: //www. apostols. org/projectz/queso) 和 Siphon 
(http://siphon. datanerds. net) 。 


4 旗 标 获取 

最 后 一 种 扫描 手段 是 旗 标 获取 。 在 旗 标 获取 方法 中 ,使 用 一 个 打开 端口 来 联系 和 识 
别 系 统 提供 的 服务 及 版 本 号 。 最 常用 的 方法 是 连接 到 一 个 端口 , 按 Enter 键 几 次 ,看 返回 
什么 类 型 的 信息 。 

例如 : 


\INetat_svrf \] Telnet 192.168.5.33 2 
SSH 1.99 OpenSSH 3.1pl 


表明 该 端口 提供 SSH 服务 ,版 本 号 为 3. 1p1。 


5 安全 措施 探查 
目前 ,重要 的 网 络 服务 器 一 般 都 会 配置 安全 防护 设备 。 基 本 的 有 防火 墙 \, 人 侵 检测 。 
还 有 一 些 重 要 的 安全 服务 器 会 配置 更 多 的 安全 防护 装置 ,如 蜜 铅 系 统 、 防 DoS 攻击 系统 
和 邮件 过 滤 等 。 在 扫描 过 程 中 根据 扫描 结果 ,需要 判断 目标 使 用 了 哪些 安全 防护 措施 。 
获取 的 内 容 包括 
@ 获取 目标 的 网 络 路 径 信息 。 
。 目标 网 段 信息 : 确认 目标 所 在 的 网 段 , 掩 码 情况 。 判 断 安全 区 域 划分 情况 。 为 可 
能 的 跳板 攻击 做 准备 。 
。 目标 路 由 信息 : 确认 目标 的 具体 路 由 情况 ,判断 在 路 由 路 径 上 的 各 个 设备 类 型 。 
如 是 路 由 器 ,三 层 交 换 机 或 防火 墙 。 
@ 了 解 目标 前 架设 的 安全 设备 的 情况 ,确认 目标 是 否 安装 了 安全 设施 。 一 般 对 攻击 
影响 较 大 的 包括 防火 墙 \ 入 侵 检测 和 蜜 钠 系 统 等 。 
@@ 了 解 目标 使 用 安全 设备 情况 。 这 对 攻击 的 隐蔽 性 影响 很 大 ,同时 也 决定 了 在 后 期 
安装 后 门 的 困难 程度 。 这 部 分 主要 包括 和 人 侵 检测 .日 志 审 计 及 防 病毒 安装 情况 。 
安全 措施 探查 主要 通过 分 析 扫描 数据 总 结 出 来 。 一 般 通过 分 析 简 单 攻击 是 否 存 在 阻 
断 行为 ,可 以 确认 是 否 在 关键 路 径 上 存在 动态 安全 防护 设备 ,检查 icmp 及 端口 扫描 反馈 
数据 ,可 以 确认 是 否 存在 防火 墙 等 包 过 滤 设 备 。 通 过 检查 数据 重 定 向 情况 ,可 以 猜测 服务 
器 真实 IP 地 址 及 通路 设置 情况 。 通 过 伪装 病毒 通信 可 以 检查 是 否 存 在 蜜 钠 系 统 。 


1123 查 点 


通过 扫描 ,入 侵 者 掌握 了 目标 系统 所 使 用 的 操作 系统 ,下 一 步 工 作 是 查 点 。 查 点 就 是 
211 


第 3 篇 。 网 络 安全 技术 PE 


搜索 特定 系统 上 用 户 和 用 户 组 名 、 路 由 表 、SNMP 信息 、 共 享 资源 、 服 务 程序 及 旗 标 等 信 
息 。 查 点 所 采用 的 技术 依 操作 系统 而 定 。 

在 Windows 系统 上 主要 采用 的 技术 有 “ 查 点 NetBIOS? 线 路 、 空 会 话 (Null Session)、 
SNMP 代理 和 活动 目录 (Active Directory) 等 。Windows 系统 上 主要 使 用 以 下 工具 ; 

(1) Windows 系统 命令 


net Viewrrbtstat,rbtscan 及 nltest。 
(2) 第 三 方 软件 


Netviewx (http: //ww.ibt.ku.dk/jesper/NetViewX/default.htm); 

Usercirp (http: /mw-hammerofgod.camdounlcad-htm); 

User2sid http: //www.ntibugtraqg.om); 

GetAcct (http: //securityfriday.om); 

DumpSec http: //www.samarsoft.om); 

Iegion http: /www.legicnlan.com) 

NT (htbp: /www-hackingexposed.ccm) 。 

在 UNIX 系统 上 采用 的 技术 有 RPC 查 点 .NIS 查 点 、NFS 查 点 及 SNMP 查 点 等 。 
UNIX 系统 上 常用 的 工具 有 rpcinfo, rpcdump, showmount, finger, rwho, ruser, nmap， 
telnet,nc 及 snmpwalk 等 。 


11.24 获取 访问 权 


在 搜集 到 目标 系统 的 足够 信息 后 ,下 一 步 要 完成 的 工作 自然 是 得 到 目标 系统 的 访问 
权 进 而 完成 对 目标 系统 的 入 侵 。 对 于 Windows 系统 采用 的 主要 技术 有 NetBIOS SMB 
密码 猜测 (包括 手工 及 字典 猜测 ) .窃听 LM 及 NTLM 认证 散 列 .攻击 IIS Web 服务 器 及 
远程 缓冲 区 溢出 。 而 UNIX 系统 采用 的 主要 技术 有 蛮 力 密码 攻击 ,密码 窃听 ,通过 向 某 
个 活动 的 服务 发 送 精心 构造 的 数据 ,以 产生 攻击 者 所 希望 的 结果 的 数据 驱动 式 攻击 (例如 
缓冲 区 溢出 .输入 验证 和 字典 攻击 等 ),RPC 攻击 ,NFS 攻击 及 针对 X Window 系统 的 攻 
击 等 。 著 名 的 密码 窃听 工具 有 sniffer pro(http: //www. sniffer. com), TCPdump, LC4 
(LOphtcrack version 4,http: //www. atstake. comy/research/lc/) 和 readsmb。 字 典 攻击 
工具 有 LC4, John the RIPper (http: //www. openwall. com/john), NAT, SMBGrind 
(http://www. nai. com) 及 fgrind。 对 于 对 访问 限制 的 服务 ,通过 暴力 破解 的 方式 ,一 般 
都 能 在 可 接受 的 时 间 内 获取 到 访问 权限 。 


11.25 权限 提升 


一 旦 攻击 者 通过 前 面 4 步 获 得 了 系统 上 任意 普通 用 户 的 访问 权限 后 ,攻击 者 就 会 试 

图 将 普通 用 户 权 限 提升 至 超级 用 户 权 限 ,以 便 完成 对 系统 的 完全 控制 。 这 种 从 一 个 较 低 

权限 开始 ,通过 各 种 攻击 手段 得 到 较 高 权限 的 过 程 称 为 权限 提升 。 权 限 提升 所 采取 的 技 

术 主 要 有 通过 得 到 的 密码 文件 ,利用 现 有 工具 软件 ,破解 系统 上 其 他 用 户 名 及 口令 ;利用 

不 同 操作 系统 及 服务 的 漏洞 (如 Windows 2000 NetDDE 漏洞 ) ,利用 管理 员 不 正确 的 系 

统 配 置 等 。 常 用 的 口令 破解 工具 有 John The RIPper,John The RIPper, 得 到 Windows 
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NT 管理 员 权限 的 工具 有 lc_message, getadmin, sechole, Invisible Keystroke Logger 


(http: //www. amecisco. com/iksnt. htm) 。 


11.26 窃取 


一 旦 攻击 者 得 到 了 系统 的 完全 控制 权 , 接 下 来 将 完成 的 工作 是 窃取 , 即 进 行 一 些 敏感 
数据 的 算 改 、 添 加 、 删 除 及 复制 (例如 Windows 系统 的 注册 表 、UNIX 系统 的 rhost 文件 
等 )。 通 过 对 敏感 数据 的 分 析 , 为 进一步 攻击 应 用 系统 做 准备 。 


11.27 掩盖 踪迹 


黑客 并 非 踏 雪 无 痕 , 一 旦 黑客 人 侵 系统 ,必然 留 下 痕迹 。 此 时 ,黑客 需要 做 的 首要 工 
作 就 是 清除 所 有 入侵 痕迹 ,避免 自己 被 检测 出 来 ;以便 能 够 随时 返回 被 入侵 系统 继续 干 坏 
事 或 作为 人 侵 其 他 系统 的 中 继 跳 板 。 掩 盖 踪迹 的 主要 工作 有 禁止 系统 审计 、 清 空 事 件 日 
志 , 隐 藏 作案 工具 及 使 用 人 们 称 为 rootkit 的 工具 组 蔡 换 那些 常用 的 操作 系统 命令 。 常 用 
的 清除 日 志 工 具有 zap,wzap 和 wted。 


11.28 创建 后 门 


黑客 的 最 后 一 招 便 是 在 受害 系统 上 创建 一 些 后 门 及 陷阱 ,以 便 入 侵 者 一 时 兴起 时 , 卷 
土 重 来 ,并 能 以 特权 用 户 的 身份 控制 整个 系统 。 创 建 后 门 的 主要 方法 有 创建 具有 特权 用 
户 权限 的 虚假 用 户 账号 .安装 批 处 理 、 安 装 远程 控制 工具 、 使 用 木马 程序 替换 系统 程序 . 安 
装 监控 机 制 及 感染 启动 文件 等 。 黑 客 常用 的 工具 有 rootkit、 sub7 (http: //www. sub7. 
net) .cron、at、UNIX 的 re、Windows 启动 文件 夹 、Netcat(http: //www. atstake. com/ 
research/tools) .VNC (http: //www. realvnc. com)、 BO2K (http: //sourceforge. net/ 


projects/bo2k) .secadmin ,Invisible Keystroke Logger、remove. exe 等 。 


11.29 拒绝 服务 攻击 


如 果 黑 客 未 能 成 功 地 完成 第 4 步 的 获取 访问 权 ,那么 他 们 所 能 采取 的 最 恶毒 的 手段 
便 是 进行 拒绝 服务 攻击 。 即 用 精心 准备 好 的 漏洞 代码 攻击 系统 使 目标 服务 器 资源 耗 尽 或 
资源 过 载 ,以 致 没有 能 力 再 向 外 提供 服务 。 攻 击 所 采用 的 技术 主要 是 利用 协议 漏洞 及 不 
同系 统 实现 的 漏洞 。 


和 3 ”黑客 技术 概述 


网 络 是 多 种 信息 技术 的 集合 体 , 它 的 运行 依靠 相关 的 大 量 技术 标准 和 协议 。 作 为 网 
络 的 入 侵 者 ,黑客 的 工作 主要 是 通过 对 技术 和 实际 实现 中 的 逻辑 漏洞 进行 挖掘 ,通过 系统 
允许 的 操作 对 没有 权限 操作 的 信息 资源 进行 访问 和 处 理 。 目 前 ,黑客 对 网 络 的 攻击 主要 
是 通过 网 络 中 存在 的 拓扑 漏洞 及 对 外 提供 服务 的 实现 漏洞 实现 成 功 的 渗透 。 除 了 使 用 这 
些 技术 上 的 漏洞 ,黑客 还 可 以 充分 利用 人 为 运行 管理 中 存在 的 问题 对 目标 网 络 实施 入 侵 。 
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通过 欺骗 .信息 搜集 等 社会 工程 学 的 方法 ,黑客 可 以 从 网 络 运行 管理 的 薄弱 环节 和 人手 , 通 
过 对 人 本 身 的 习惯 的 把 握 ,迅速 地 完成 对 网 络 用 户 身份 的 窃取 并 进而 完成 对 整个 网 络 的 
攻击 。 

可 以 看 出 ,黑客 的 技术 范围 很 广 , 涉 及 网 络 协议 解析 、 源 码 安 全 性 分 析 、 密 码 强 度 分 析 
和 社会 工程 学 等 多 个 不 同 的 学 科 。 入 侵 一 个 目标 系统 ,在 早期 需要 黑客 具有 过 硬 的 协议 
分 析 基 础 深厚 的 数学 功底 。 但 由 于 网 络 的 共享 能 力 及 自动 攻击 脚本 的 成 熟 与 广泛 的 散 
播 ,现在 黑客 的 行为 越 演 越 烈 ,而 对 黑客 的 技术 要 求 也 在 不 断 地 降低 。 

目前 ,在 实施 网 络 攻击 中 ,黑客 所 使 用 的 人 侵 技术 主要 包括 以 下 几 种 : 

。 协议 漏洞 渗透 ; 

。 密码 分 析 还 原 ; 

。 应 用 漏洞 分 析 与 渗透 ; 

。 社会 工程 学 ; 

。 拒绝 服务 攻击 ; 

。 病毒 或 后 门 攻击 。 


11.31 协议 漏洞 渗透 


网 络 中 包含 着 种 类 繁多 但 层次 清晰 的 网 络 协议 规范 。 这 些 协 议 规范 是 网 络 运行 的 基 
本 准则 ,也 是 构建 在 其 上 的 各 种 应 用 和 服务 的 运行 基础 。 但 对 于 底层 的 网 络 协议 来 说 ,对 
于 安全 的 考虑 有 着 先天 的 不 足 , 部 分 网 络 协议 具有 严重 的 安全 漏洞 。 通 过 对 网 络 标准 协 
议 的 分 析 ,黑客 可 以 从 中 总 结 出 针对 协议 的 攻击 过 程 ,利用 协议 的 漏洞 实现 对 目标 网 络 的 
攻击 。 

随 着 网 络 的 不 断 发 展 , 网 络 安全 越 来 越 得 到 管理 者 的 重视 ,大 量 陈旧 的 网 络 协议 被 新 
的 更 安全 的 网 络 协议 所 代替 。 作 为 现代 网 络 的 核心 协议 .TCP/IP 协议 正在 不 断 地 得 到 
安全 的 修补 , 即 在 不 破坏 正常 协议 流程 的 情况 下 ,修改 影响 网 络 安全 的 部 分 。 当 然 ,由 于 
先天 的 不 足 ,一 些 协 议 上 的 漏洞 是 无 法 通过 修改 协议 弥补 的 。 通 过 应 用 这 些 固 有 的 协议 
漏洞 ,黑客 开发 出 了 针对 特定 网 络 协议 环境 下 的 网 络 攻 击 技 术 , 这 些 技术 以 会 话 侦 听 与 动 
持 技术 和 地 址 欺骗 技术 应 用 较 多 。 


1 会 话 侦 听 与 动 持 技术 

传统 的 以 太 网 络 使 用 共享 的 方式 完成 对 数据 分 组 的 传送 。 这 在 目前 尤其 在 一 些 已 经 
有 一 定 历史 的 网 络 中 是 主要 的 分 组 发 送 方式 。 在 这 种 方式 下 ,发 往 目 的 结 点 的 分 组 数据 
实际 上 被 发 送 给 了 所 在 网 段 的 每 一 个 结 点 。 目 的 结 点 接收 这 些 分 组 ,并 与 其 他 结 点 共享 
传送 带宽 。 虽然 从 带宽 的 利用 率 上 ,这 样 做 的 实现 利用 率 并 不 高 ,但 由 于 实际 的 实现 较为 
简单 ,同时 造价 较 低 ,因此 在 网 络 中 得 到 了 广泛 的 应 用 。 正 是 根据 共享 式 的 网 络 环境 的 数 
据 共享 特性 ,黑客 技术 中 出 现 了 会 话 窃听 与 支持 技术 。 

只 要 可 以 作为 目标 网 络 环境 的 一 个 结 点 ,就 可 以 接收 到 目标 网 络 中 流动 的 所 有 数据 
信息 。 这 种 接收 的 设置 非常 简单 ,对 于 普通 的 计算 机 ,只 要 将 网 卡 设 为 混杂 模式 就 可 以 达 
到 接收 处 理 所 有 网 络 数据 的 目的 。 利 用 会 话 窃听 技术 ,入 侵 者 可 以 通过 重组 数据 包 将 网 
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络 内 容 还 原 , 轻 松 地 获得 明文 信息 。 例 如 ,当前 的 网 站 登录 中 ,在 密码 传输 方面 使 用 的 方 
式 几 乎 都 是 明文 传送 。 因 此 ,这 类 密码 也 就 相当 容易 获得 。 由 于 人 的 因素 ,每 个 人 使 用 的 
用 户 名 和 密码 都 只 限于 几 个 。 通 过 获取 明文 密码 信息 ,入 侵 者 不 但 可 以 轻易 地 以 被 监听 
者 的 身份 进入 到 各 个 网 站 ,还 可 以 通过 搜集 的 用 户 密码 表 进 入 被 监听 人 的 计算 机 进行 
破坏 。 

会 话 窃听 技术 是 网 络 信息 搜集 的 一 种 重要 方式 ,而 利用 TCP 协议 的 漏洞 ,黑客 更 可 
以 对 所 窥探 的 TCP 连接 进行 临时 的 动 持 ,以 会 话 一 方 用 户 的 身份 继续 进行 会 话 。 会 话 动 
持 的 根源 在 于 TCP 协议 中 对 分 组 的 处 理 。 


2 地 址 欺骗 技术 

在 传统 的 网 络 中 ,存在 着 大 量 的 简单 认证 方式 ,这 些 方式 的 基本 原则 就 是 以 主机 的 
IP 地 址 作为 认证 的 基础 , 即 所 谓 的 主机 信任 。 通 过 设 定 主机 信任 关系 ,用 户 对 网 络 的 访 
问 和 管理 行为 变 得 简单 ,很 大 程度 上 提高 了 网 络 的 易 用 性 。 

这 样 的 认证 行为 基于 以 下 网 络 协议 原则 , 即 在 网 络 中 ,所 有 的 计算 机 都 是 通过 如 IP 
这 样 的 地 址 进行 辨认 ,每 一 个 主机 具有 固定 的 并 且 是 唯一 (这 里 的 唯一 相对 于 所 在 网 络 而 
言 ) 的 地 址 。 通 过 确认 IP 就 可 以 确认 目标 主机 的 身份 。 但 就 像 现实 中 有 假 的 身份 证 一 
样 ,网 络 的 地 址 也 可 以 被 假冒 ,这 就 是 所 谓 IP 地 址 的 欺骗 。 由 于 网 络 的 基础 协议 在 安全 
性 上 的 漏洞 ,这 种 假冒 远 较 现实 中 的 假冒 方便 简单 。 通 过 对 地 址 的 假冒 ,入 侵 者 可 以 获得 
所 仿冒 地 址 计算 机 的 所 有 特权 ,也 就 容易 攻 入 到 其 他 给 被 仿冒 计算 机 提供 信任 连接 的 计 
算 机 上 ,造成 机 密 泄露 。 如 果 防 火 墙 配置 不 当 , 这 种 攻击 甚至 可 以 绕 过 防火 墙 ,破坏 防火 
墙 内 的 计算 机 。 


11.32 密码 分 析 还 原 


为 了 保证 数据 的 安全 性 ,现在 通常 的 方法 是 对 数据 进行 加 密 , 防 止 可 疑 的 截取 行为 造 
成 的 信息 泄露 。 对 于 数据 的 加 密 通常 需要 一 个 密 钥 ,数据 与 密 钥 通过 加 密 算法 自动 机 进 
行 合成 ,生成 密 文 。 对 于 不 知道 密 钥 的 攻击 者 来 说 ,截获 的 密 文 难以 理解 。 而 对 于 非 对 称 
加 密 算法 ,即使 攻击 者 知道 密 钥 ,也 无 法 从 密 文中 还 原 出 明文 信息 。 这 样 就 可 以 保证 网 络 
通信 信息 的 安全 性 。 同 样 , 对 于 认证 用 的 密码 信息 ,一 般 也 是 使 用 强度 较 高 的 加 密 算 法 进 
行 加 密 , 以 密 文 的 形式 存储 在 系统 中 。 这 些 密 文 使 用 加 密 算法 的 强度 一 般 较 高 ,黑客 即使 
获得 密 文 存储 文件 ,也 难以 从 这 些 密 文中 分 析出 正确 的 密码 。 

密码 学 等 加 密 技术 向 人 们 做 出 保证 ,密码 的 攻破 理论 上 是 不 可 行 的 ,如 果 采 用 蛮 力 攻 
击 的 话 ,所 用 的 时 间 将 长 到 足够 保证 安全 的 程度 。 但 现实 中 ,密码 的 破解 却 并 不 如 理论 中 
所 保证 的 那样 困难 。 随 着 计算 机 运算 速度 的 指数 级 提高 ,相同 的 运算 量 所 使 用 的 时 间 明 
显 地 缩短 。 同 时 ,对 加 密 算 法 的 强度 分 析 以 及 社会 工程 学 的 密码 筛选 技术 的 不 断 发 展 , 现 
实 网 络 中 的 大 量 密码 可 以 在 可 接受 的 时 间 内 被 分 析 还 原 。 密 码 分 析 与 还 原 技术 不 使 用 系 
统 和 网 络 本 身 的 漏洞 ,虽然 涉及 对 密码 算法 的 强度 分 析 ,但 它 主 要 利用 的 是 人 的 惰性 及 系 
统 的 错误 配置 。 应 用 这 类 技术 手段 攻击 通常 是 可 以 通过 人 工 手 段 避免 的 ,只 要 严格 要 求 
网 络 所 在 用 户 的 密码 强度 ,还 是 可 以 避免 大 部 分 的 攻击 ,但 由 于 这 涉及 人 员 管 理 , 代 价 也 
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非常 大 。 

目前 网 络 中 使 用 的 加 密 算 法 ,从 加 密 的 种 类 上 来 分 ,主要 包括 对 称 加 密 和 非 对称 加 密 
两 种 基本 的 类 别 。 根 据 分 析 的 出 发 点 不 同 ,密码 分 析 还 原 技术 主要 分 为 密码 还 原 技术 和 
密码 猜测 技术 。 对 于 网 络 上 通用 的 标准 加 密 算法 来 说 ,攻击 这 类 具有 很 高 强度 加 密 算法 
的 手段 通常 是 使 用 后 一 种 技术 。 在 进行 攻击 的 时 候 , 密 码 分 析 还 原 所 针对 的 对 象 主要 是 
通过 其 他 侦 听 手段 获取 到 的 认证 数据 信息 ,包括 系统 存储 认证 信息 的 文件 或 利用 连接 侦 
听 手 段 获 取 的 用 户 登录 的 通信 信息 数据 。 


1 密码 还 原 技术 

密码 还 原 技术 主要 针对 的 是 强度 较 低 的 加 密 算法 。 通 过 对 加 密 过 程 的 分 析 , 从 加 密 
算法 中 找 出 算法 的 薄弱 环节 ,从 加 密 样本 中 直接 分 析出 相关 的 密 钥 和 明文 。 对 于 非 对 称 
算法 ,可 以 通过 对 密 文 的 反 推 将 明文 的 可 能 范围 限定 在 有 限 的 范围 内 ,达到 还 原 密 文 的 结 
果 。 这 种 方法 需要 对 密码 算法 有 深入 的 研究 ,同时 ,相关 算法 的 密码 还 原 过 程 的 出 现 ,也 
就 注定 了 相应 加 密 算法 寿命 的 终结 。 对 于 目前 网 络 上 通行 的 标准 加 密 算法 来 说 ,从 理论 
和 实践 中 还 没 出 现 对 应 的 密码 还 原 过 程 ,因此 密码 还 原 技术 的 使 用 并 不 多 。 但 对 于 没有 
公开 加 密 算法 的 操作 系统 来 说 ,由 于 算法 的 强度 不 够 ,在 过 程 被 了 解 后 ,黑客 就 会 根据 分 
析 中 获得 的 算法 漏洞 完成 密码 还 原 的 算法 。 现 在 ,对 于 Windows 操作 系统 来 说 ,用 户 认 
证 的 加 密 算法 就 已 经 被 分 析 攻破 ,用 户 只 要 使 用 密码 破解 程序 就 可 以 完成 对 系统 上 所 有 
密码 的 破解 ,获取 系统 上 所 有 用 户 的 访问 权限 。 


2 密码 猜测 技术 

密码 还 原 技术 需要 目标 系统 使 用 强度 不 高 的 有 一 定安 全 漏洞 的 加 密 算法 ,而 对 于 一 
般 的 成 熟 加 密 算 法 ,密码 攻击 主要 使 用 的 是 密码 猜测 技术 。 密 码 猜测 技术 的 原理 主要 是 
利用 穷 举 的 方法 猜测 可 能 的 明文 密码 ,将 猜测 的 明文 经 过 加 密 后 与 实际 的 密 文 进行 比较 ， 
如 果 所 猜测 的 密 文 与 实际 的 密 文 相 符 , 则 表明 密码 攻击 成 功 ,攻击 者 可 以 利用 这 个 密码 获 
得 相应 用 户 的 权限 。 往 往 这 样 猜测 出 来 的 密码 与 实际 的 密码 相 一 致 

密码 猜测 技术 的 核心 在 于 如 何 根据 已 知 的 信息 调整 密码 猜测 的 过 程 , 在 尽 可 能 短 的 
时 间 内 破解 密码 。 从 理论 上 讲 ,密码 猜测 的 破解 过 程 需要 一 段 很 长 的 时 间 ,而 实际 上 ,应 
用 密码 猜测 技术 实现 对 系统 的 攻击 是 目前 最 为 有 效 的 攻击 方式 。 这 种 方法 比 想像 的 更 加 
有 效 的 原因 是 许多 人 在 选择 密码 时 ,技巧 性 都 不 是 很 好 ,密码 复杂 性 不 高 。 简 单 的 密码 非 
常 容易 猜 到 ,例如 ,很 多 人 使 用 用 户 名 加 上 一 些 有 意义 的 数字 (生日 或 是 连续 数字 序列 等 ) 
作为 自己 的 密码 ,甚至 有 些 人 的 密码 与 用 户 名 相同 ,一 些 密码 长 度 只 有 几 个 甚至 一 个 字 
符 。 这 类 密码 容易 记忆 ,但 也 方便 了 入侵 者 。 

密码 猜测 技术 就 是 利用 人 们 的 这 种 密码 设置 习惯 ,针对 所 搜集 到 的 信息 ,对 有 意义 的 
单词 和 用 户 名 与 生日 形式 的 数列 代码 或 简单 数字 序列 进行 排列 组 合 , 形 成 密码 字典 ,同时 
根据 所 搜集 到 的 用 户 信息 ,对 字典 的 排列 顺序 进行 调整 。 以 这 个 生成 的 字典 作为 基础 , 模 
拟 登 录 的 方式 ,逐一 进行 匹配 操作 ,密码 猜测 工具 可 以 利用 这 种 方式 破解 大 量 的 系统 。 密 
码 猜测 技术 的 核心 就 是 这 种 密码 字典 的 生成 技术 。 上 述 的 生成 方式 是 密码 字典 的 基本 生 
成 原则 。 例 如 ,根据 目标 网 络 所 在 的 物理 位 置 , 人 员 的 国籍 、 姓 名 和 性 格 等 信息 ,密码 猜测 
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工具 可 以 将 与 信息 相关 的 单词 选取 出 来 形成 更 小 的 单词 组 合 , 而 根据 人 员 的 年 龄 .电话 等 
信息 ,密码 猜测 工具 可 以 将 数字 序列 集 限定 在 更 小 的 范围 内 。 这 样 组 合 出 来 的 字典 更 小 ， 
针对 性 更 强 , 可 以 实现 更 快速 度 的 破解 。 随 着 对 目标 网 络 用 户 信息 搜集 的 深入 ,密码 猜测 
工具 对 字典 进行 的 筛选 越 来 越 精细 ,字典 序列 调整 的 依据 也 就 越 多 。 对 于 攻击 用 的 密码 
猜测 技术 ,其 主要 目的 就 是 为 了 获取 对 目标 网 络 的 访问 权限 , 它 是 黑客 入 侵 过 程 中 介 于 信 
息 搜 集 和 攻击 之 间 的 攻击 过 程 。 从 对 目标 网 络 的 密码 猜测 攻击 中 就 可 以 了 解 到 目标 网 络 
对 安全 的 重视 程度 。 在 以 往 黑 客 攻击 的 事件 中 ,有 大 量 目标 网 络 由 于 不 重视 安全 管理 ,用 
户 的 密码 强度 不 够 ,黑客 可 以 在 几 分 钟 甚至 几 秒 钟 的 时 间 内 破解 大 量 一 般 用 户 甚至 是 管 
理 员 账 户 的 密码 。 


11.33 应 用 漏洞 分 析 与 渗透 


任何 的 应 用 程序 都 不 可 避免 地 存在 逻辑 漏洞 ,这 在 IT 行业 中 已 经 形成 了 共识 。 这 
一 点 ,对 于 安全 隐患 也 同样 适用 。 在 这 方面 操作 系统 也 不 例外 ,几乎 每 天 都 有 人 宣布 发 现 
了 某 个 操作 系统 的 安全 漏洞 ,而 这 些 安全 漏洞 也 就 成 为 了 入 侵 者 的 攻击 对 象 。 通 过 对 这 
些 安全 漏洞 的 分 析 ,确认 漏洞 的 引发 方式 以 及 引发 后 对 系统 造成 的 影响 ,攻击 者 可 以 使 用 
合适 的 攻击 程序 引发 漏洞 的 启动 ,破坏 整个 服务 系统 的 运行 过 程 ,进而 渗透 到 服务 系统 
中 ,造成 目标 网 络 的 损失 。 

目前 ,对 各 个 网 站 的 攻击 几乎 都 使 用 到 了 应 用 漏洞 分 析 与 渗透 技术 ,攻击 者 或 是 利用 
WWW 服务 器 的 漏洞 ,或 是 利用 操作 系统 的 缺陷 攻 入 服务 器 , 自 改 网 站 主页 。 最近 经 常 
提 及 的 对 微软 的 IIS 服务 器 的 攻击 ,就 是 利用 IIS 对 unicode 解释 的 缺陷 实现 的 。 由 于 这 
类 错误 ,入 侵 者 甚至 只 使 用 浏览 器 就 可 以 随意 地 算 改 网 站 服务 器 的 内 容 。 最 新 的 病毒 
Nimda 也 是 利用 了 Outlook Express 的 安全 漏洞 迅速 地 传播 开 来 的 。 

应 用 漏洞 从 错误 类 型 上 主要 包括 服务 流程 漏洞 和 边界 条 件 漏 洞 。 


1 服务 流程 漏洞 

服务 流程 漏洞 指 服务 程序 在 运行 处 理 过 程 中 ,由 于 流程 次 序 的 颠倒 或 对 意外 条 件 的 
处 理 的 随意 性 ,造成 用 户 有 可 能 通过 特殊 类 型 的 访问 绕 过 安全 控制 部 分 或 使 服务 进入 到 
异常 的 运行 状态 。 例 如 ,著名 的 IIS 漏洞 就 是 由 unicode 的 解释 过 程 在 路 径 安全 确认 过 程 
之 后 这 样 的 流程 错误 产生 的 。 利 用 这 种 流程 错误 ,用 户 可 以 将 路 径 分 割 符 分 解 为 unicode 
编码 中 的 两 个 字符 ,造成 服务 在 确认 路 径 的 时 候 被 误 认为 属于 文件 名 而 分 析 通 过 ,在 经 过 
unicode 解释 后 ,系统 根据 指定 的 路 径 达 到 了 对 系统 非 公开 资源 的 非法 访问 。 又 如 用 户 可 
以 对 处 理 输入 不 严密 的 CGI 程序 输入 含有 运行 代码 的 请 求 , 如 果 没 有 对 输入 进行 合法 性 
的 处 理 ,CGI 程序 就 会 在 执行 的 过 程 中 启动 用 户 写 人 的 运行 代码 ,造成 系统 信息 的 泄露 或 
破坏 。 

2 边界 条 件 漏洞 

边界 条 件 漏洞 则 主要 针对 服务 程序 中 存在 的 边界 处 理 不 严谨 的 情况 。 在 对 服务 程序 
的 开发 过 程 中 ,很 多 边界 条 件 尤其 是 对 输入 信息 的 合法 性 处 理 往往 很 难 做 到 周全 ,在 正常 
情况 下 ,对 边界 条 件 考 虑 的 不 严密 并 不 会 造成 明显 可 见 的 错误 ,但 这 种 不 严密 的 处 理 却 会 
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带 来 严重 的 安全 隐患 。 在 边界 漏洞 中 ,以 内 存 溢出 错误 最 为 普遍 ,影响 也 最 为 严重 。 有 很 
多 攻击 都 是 利用 超 长 的 数据 填 满 数据 区 并 造成 溢出 错误 ,利用 这 种 溢出 在 没有 写 权限 的 
内 存 中 写 人 非法 数据 。 这 些 数据 有 些 只 是 单纯 地 造成 相关 服务 的 停止 ,而 另 一 些 则 带 有 
可 运行 信息 ,通过 溢出 , 重 定 向 了 返回 指针 ,启动 写 和 数据 中 的 运行 代码 ,获取 远程 操作 系 
统 的 超级 管理 员 权 限 或 是 对 数据 进行 破坏 ,造成 服务 甚至 整个 系统 的 崩溃。 由 于 这 种 攻 
击 涉 及 系统 内 核 和 内 存 分 配 ,与 操作 系统 直接 相关 ,但 往往 非常 有 效 , 并 且 很 难 杜绝 。 这 
种 类 型 的 攻击 是 目前 应 用 最 多 的 攻击 方式 ,对 于 网 络 的 影响 也 最 为 严重 。 这 类 攻击 包括 
BIND 溢出 攻击 、sendmail 溢出 攻击 和 Linux bash 缓冲 溢出 攻击 等 。 随 着 应 用 程序 的 复 
杂 性 不 断 提高 ,边界 条 件 类 型 的 漏洞 将 会 不 断 出 现 , 而 基于 这 种 漏洞 的 攻击 也 会 不 断 
增加 。 


11.34 社会 工程 学 


社会 工程 学 与 黑客 使 用 的 其 他 技术 具有 很 大 的 差别 , 它 所 研究 的 对 象 不 是 严 并 的 计 
算 机 技术 ,而 是 目标 网 络 的 人 员 。 社 会 工程 学 主要 是 利用 说 服 或 欺骗 的 方法 来 获得 对 信 
息 系 统 的 访问 。 这 种 说 服 和 欺骗 通常 是 通过 和 人 交流 或 其 他 互动 方式 实现 的 。 

简单 地 说 ,社会 工程 学 就 是 黑客 对 人 类 天 性 趋 于 信任 倾向 的 聪明 利用 。 黑 客 的 目标 
是 获得 信息 ,通过 获得 那些 重要 系统 未 授权 的 访问 路 径 来 获取 该 系统 中 的 某 些 信 息 。 信 
任 是 一 切 安全 的 基础 。 一 般 认为 对 于 保护 与 审核 的 信任 是 整个 安全 链 中 最 薄弱 的 一 环 ， 
人 类 那 种 天 生 愿 意 相信 其 他 人 的 说 辞 的 倾向 让 大 多 数 人 容易 被 这 种 手段 所 利用 。 这 也 是 
许多 很 有 经 验 的 安全 专家 所 强调 的 。 

可 以 从 两 个 层次 来 对 社会 工程 学 类 的 攻击 进行 分 析 : 物理 上 的 和 心理 上 的 。 


1 物理 分 析 

物理 上 ,入侵 发 生 的 物理 地 点 可 以 是 工作 区 电话、 目标 企业 垃圾 堆 , 甚 至 是 在 网 上 。 

(1) 对 于 工作 区 来 说 ,黑客 可 以 只 是 简单 地 走 进来 ,冒充 允许 进入 公司 的 维护 人 员 或 
者 顾问 。 大 多 数 情况 下 ,入 侵 者 可 以 对 整个 工作 区 进行 深入 的 观察 ,直到 找到 一 些 密码 或 
是 一 些 可 以 利用 的 资料 之 后 离开 。 另 一 种 获得 审核 信息 的 手段 就 是 站 在 工作 区 观察 公司 
雇员 如 何 输入 密码 并 偷偷 记 住 。 

(2) 最 流行 的 社会 工程 学 手段 是 通过 电话 进行 的 。 黑 客 可 以 冒充 一 个 权力 很 大 或 者 
很 重要 的 人 物 的 身份 , 打 电 话 从 其 他 用 户 那 里 获得 信息 。 一 般 机 构 的 咨询 台 容易 成 为 这 
类 攻击 的 目标 。 咨 询 台 之 所 以 容易 受到 社会 工程 学 的 攻击 ,是 因为 他 们 所 处 的 位 置 就 是 
为 他 人 提供 帮助 的 ,因此 就 可 能 被 人 利用 来 获取 非法 信息 。 咨 询 台 人 员 一 般 接受 的 训练 
都 是 要 求 他 们 待人 友善 ,并 能 够 提供 别人 所 需要 的 信息 ,所 以 这 就 成 为 了 社会 工程 学 家 们 
的 金 矿 。 大 多 数 的 咨询 台 人 员 所 接受 的 安全 领域 的 培训 与 教育 很 少 ,这 就 造成 了 很 大 的 
安全 隐患 。 

(3) 翻 垃圾 是 另 一 种 常用 的 社会 工程 学 手段 。 因 为 企业 的 垃圾 堆 里 面 往往 包含 了 大 
量 的 信息 。 在 垃圾 堆 中 可 以 找 出 很 多 危害 安全 的 信息 ,包括 企业 的 电话 短 、 机 构 表格 、 备 
忘 录 、 公 司 的 规定 手册 、 会 议 时 间 安 排 表 . 事 件 和 假期 .系统 手册 、 打 印 的 敏感 信息 或 是 登 
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录 名 和 密码 ,打印 出 来 的 源 代码 、 磁 盘 和 磁带 .公司 的 信件 头 格式 和 备忘录 的 格式 ,以 及 废 
旧 的 硬件 。 这 些 资源 可 以 向 黑客 提供 大 量 的 信息 。 电 话 德 可 以 向 黑客 提供 员工 的 姓名 、 
电话 号 码 来 作为 目标 和 冒充 的 对 象 。 机 构 的 表格 包含 的 信息 可 以 让 他 们 知道 机 构 中 的 高 
级 员工 的 姓名 。 备 忘 录 中 的 信息 可 以 让 他 们 一 点 点 地 获得 有 用 信息 来 帮助 他 们 扮演 可 信 
任 的 身份 。 企 业 的 规定 可 以 让 他 们 了 解 机 构 的 安全 情况 如 何 。 日 期 安排 表 更 是 重要 , 黑 
客 可 以 知道 在 某 一 时 间 有 哪些 员工 出 差 不 在 公司 。 系 统 手册 .敏感 信息 ,还 有 其 他 技术 资 
料 可 以 帮助 黑客 癌 入 机 构 的 计算 机 网 络 。 至 于 废旧 硬件 ,特别 是 硬盘 ,黑客 可 以 对 它 进 行 
恢复 来 获取 有 用 信息 。 

(4) Internet 是 使 用 社会 工程 学 来 获取 密码 的 乐园 。 这 主要 是 因为 许多 用 户 都 把 自 
已 所 有 上 账号 的 密码 设置 为 同一 个 。 所 以 一 旦 黑客 拥有 了 其 中 的 一 个 密码 以 后 ,他 就 获得 
了 多 个 账号 的 使 用 权 。 黑 客 常用 的 一 种 手段 是 通过 在 线 表格 进行 社会 工程 学 攻击 。 他 可 
以 发 送 某 种 彩票 中 奖 的 消息 给 用 户 ,然后 要 求 用 户 输入 姓名 (以 及 电子 邮件 地 址 ,这 样 他 
甚至 可 以 获得 用 户 在 机 构 内 部 使 用 的 账户 名 ) 以 及 密码 。 这 种 表格 不 仅 可 以 以 在 线 表 格 
的 方式 发 送 , 同 样 可 以 使 用 普通 邮件 进行 发 送 。 况 且 , 如 果 是 使 用 普通 信件 方式 的 话 , 这 
些 表格 看 上 去 就 会 更 加 像 是 从 合法 的 机 构 中 发 出 的 ,欺骗 的 可 能 性 也 就 更 大 了 。 黑 客 在 
线 获 得 信息 的 另 一 种 方法 是 冒充 该 网 络 的 管理 员 ,通过 电子 邮件 向 用 户 索 要 密码 。 这 种 
方法 并 不 是 十 分 有 效 , 因 为 用 户 在 线 的 时 候 对 黑客 的 警觉 性 比 不 在 线 时 要 高 ,但 是 该 方法 
仍然 是 值得 考虑 的 。 此 外 ,黑客 也 有 可 能 放置 弹出 窗口 ,并 让 它 看 起 来 像 是 整个 网 站 的 一 
部 分 ,声称 是 用 来 解决 某 些 问题 的 , 诱 使 用 户 重新 输入 账号 与 密码 。 这 时 用 户 一 般 会 知道 
不 应 当 通 过 明文 来 传输 密码 ,但 是 ,即使 如 此 ,管理 员 也 应 当 定期 提醒 用 户 防范 这 种 类 型 
的 欺骗 。 如 果 想 做 到 进一步 安全 的 话 , 系 统管 理 员 应 当 警告 用 户 ,除非 是 与 合法 可 信和 的 网 
络 工 作 员 工 进 行 面对面 交谈 ;否则 任何 时 候 都 不 能 公开 自己 的 密码 。 

(5) 电子 邮件 同样 可 以 用 来 作为 更 直接 获取 系统 访问 权限 的 手段 。 例 如 ,从 某 位 有 
信任 关系 的 人 那里 发 来 的 电子 邮件 附件 中 可 能 携带 病毒 .蠕虫 或 者 木马 。 为 了 攻击 目标 
网 络 ,黑客 通常 会 将 包含 后 门 的 邮件 发 送 给 目标 网 络 中 的 用 户 。 只 要 存在 缺乏 安全 防范 
意识 的 用 户 ,后 门 就 可 能 被 安装 ,黑客 就 获得 了 一 个 隐蔽 的 攻击 通道 ,为 下 一 步 攻击 更 重 
要 的 系统 做 准备 。 


2 心理 分 析 

除了 这 些 物理 手段 以 外 ,黑客 也 可 能 充分 利用 用 户 的 心理 ,从 心理 学 角度 进行 社会 工 
程 学 式 的 攻击 。 基 本 的 说 服 手段 包括 扮演 ,讨好 ,同情 和 拉关系 等 。 不 论 是 使 用 哪 一 种 方 
法 ,主要 目的 还 是 说 服 目标 泄露 所 需要 的 敏感 信息 。 

(1) 扮演 一 般 来 讲 是 构造 某 种 类 型 的 角色 并 按 该 角色 的 身份 行事 。 经 常 采用 的 角色 
包括 维修 人 员 .技术 支持 人 员 经理. 可 信 的 第 三 方 人 员 或 者 企业 同事 。 角 色 通 常 是 越 简 
单 越 好 。 某 些 时 候 就 仅仅 是 打 电 话 给 目标 ,索取 需要 的 信息 。 但 是 这 种 方式 并 不 是 任何 
时 候 都 有 效 。 在 其 他 情况 下 ,黑客 会 专心 调查 目标 机 构 中 的 某 一 个 人 ,并 在 他 外 出 的 时 候 
冒充 他 的 声音 来 打 电 话 询问 信息 。 

(2) 还 有 一 种 比较 有 争议 的 社会 工程 学 手段 是 仅仅 简单 地 表现 出 友善 的 一 面 来 套 取 
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信息 。 其 理由 是 大 多 数 人 都 愿意 相信 打 电 话 来 寻求 帮助 的 同事 所 说 的 话 。 所 以 黑客 只 需 
要 获得 基本 的 信任 就 可 以 了 ,稍稍 恭维 一 下 目标 就 会 让 目标 乐意 进一步 合作 。 

(3) 获得 非法 信息 更 为 高 级 的 手段 称 为 反 向 社会 工程 学 ”。 黑 客 会 扮演 一 个 不 存在 
的 但 是 权利 很 大 的 人 物 , 让 企业 雇员 主动 地 向 他 询问 信息 。 如 果 深 入 地 研究 .细心 地 计划 
与 实施 的 话 , 反 向 社会 工程 学 攻击 手段 可 以 让 黑客 获得 更 多 更 好 的 机 会 来 从 雇员 那里 获 
得 有 价值 的 信息 。 但 是 这 需要 大 量 的 时 间 来 准备 ,研究 及 进行 一 些 前 期 的 黑客 工作 。 反 
向 社会 工程 学 包括 3 个 部 分 : 暗中 破坏 ,自我 推销 和 进行 帮助 。 黑 客 先是 对 网 络 进行 暗 
中 破坏 ,让 网 络 出 现 明显 的 问题 ,然后 对 网 络 进行 维修 并 从 雇员 那里 获得 他 真正 需要 的 信 
息 。 那 些 雇员 不 会 知道 他 是 个 黑客 ,因为 网 络 中 出 现 的 问题 得 到 解决 ,所 有 人 都 会 很 
高 兴 。 

社会 工程 学 的 攻击 对 象 是 目标 网 络 中 的 工作 人 员 和 目标 网 络 中 的 运行 管理 制度 。 对 
于 人 员 的 安全 管理 ,包括 安全 知识 的 培训 ,其 花费 往往 是 巨大 的 。 社 会 工程 学 没有 或 是 很 
少 利 用 目标 网 络 中 的 技术 漏洞 , 它 利 用 人 员 对 制度 实际 操作 中 的 灵活 性 ,对 目标 网 络 进行 
渗透 。 这 种 攻击 技术 很 难 防范 ,而 对 于 受到 这 种 攻击 的 企业 ,由 于 涉及 暴露 其 自身 的 制度 
和 管理 漏洞 ,在 某 种 程度 上 会 损害 企业 的 形象 ,因此 也 只 能 自 认 倒霉 。 因 此 ,社会 工程 学 
作为 一 种 重要 的 信息 搜集 的 方式 ,在 黑客 攻击 的 踩点 阶段 被 广泛 采用 。 


11.35 恶意 拒绝 服务 攻击 


拒绝 服务 攻击 最 主要 的 目的 是 造成 被 攻击 服务 器 资源 耗 尽 或 系统 骨 溃 而 无 法 提供 服 
务 。 这 样 的 入 侵 对 于 服务 器 来 说 可 能 并 不 会 造成 损害 ,但 可 以 造成 人 们 对 被 攻击 服务 器 
所 提供 服务 的 信任 度 下 降 ,影响 公司 的 声誉 以 及 用 户 对 网 络 服务 的 使 用 。 这 类 攻击 主要 
还 是 利用 网 络 协议 的 一 些 薄弱 环节 ,通过 发 送 大 量 无 效 请 求 数据 包 造 成 服务 器 进程 无 法 
短期 释放 ,大 量 积 累 耗 尽 系统 资源 ,使 得 服务 器 无 法 对 正常 的 请 求 进行 响应 ,造成 服务 的 
瘫痪 。 

通过 普通 的 网 络 连 线 , 使 用 者 传送 信息 要 求 服务 器 予以 确定 ,于 是 服务 器 回复 用 户 。 
用 户 被 确定 后 ,就 可 登录 服务 器 。“ 拒 绝 服务 ”的 攻击 方式 就 是 利用 了 服务 器 在 回复 过 程 
中 存在 的 资源 占用 缺陷 ,用 户 将 众多 要 求 确认 的 信息 传送 到 服务 器 ,使 服务 器 里 充斥 着 这 
种 无 用 的 信息 。 所 有 的 信息 都 有 需 回复 的 虚假 地 址 ,以 至 于 当 服务 器 试图 回 传 时 , 却 无 法 
找到 用 户 。 根 据 协议 的 规定 ,服务 器 相关 进程 会 进行 暂时 的 等 候 , 有 时 超过 一 分 钟 ,之 后 
才 进 行进 程 资 源 的 释放 。 由 于 不 断 地 发 送 这 种 虚假 的 连接 请 求 信息 , 当 进 入 等 待 释 放 的 
进程 增加 速度 远大 于 系统 释放 进程 的 速度 时 ,就 会 造成 服务 器 中 待 释放 的 进程 不 断 积累 ， 
最 终 造 成 资源 的 耗 尽 而 导致 服务 器 瘫痪 。 

最 基本 的 DoS 攻击 就 是 利用 这 种 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ,从 而 使 合 
法 用 户 无 法 得 到 服务 器 的 响应 。 而 DDoS 攻击 手段 是 在 传统 的 DoS 攻击 基础 之 上 产生 
的 一 类 攻击 方式 。 单 一 的 DoS 攻击 一 般 是 采用 一 对 一 的 方式 , 当 攻 击 目标 CPU 速度 低 、 
内 存 小 或 者 网 络 带 宽 小 等 各 项 性 能 指标 不 高 时 ,效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 
的 发 展 , 计 算 机 的 处 理 能 力 迅 速 增长 ,内 存 大 大 增加 ,同时 也 出 现 了 千 兆 级 别 的 网 络 , 这 使 
得 DoS 攻击 的 困难 程度 加 大 了 。 这 样 分 布 式 的 拒绝 服务 攻击 手段 (DDoS) 就 应 运 而 生 
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了 。 它 利用 大 量 的 倪 偶 机 来 发 起 进攻 ,用 比 从 前 更 大 的 规模 来 进攻 受害 者 。 

高 速 广 域 连接 的 网 络 给 大 家 带 来 了 方便 ,也 为 DDoS 攻击 创造 了 极为 有 利 的 条 件 。 
在 低速 网 络 时 代 , 黑 客 占领 攻击 用 的 俐 仿 机 时 ,总 是 会 优先 考虑 离 目 标 网 络 距 离 近 的 机 
器 ,因为 经 过 路 由 器 的 跳 数 少 ,效果 好 。 而 现在 电信 骨干 结 点 之 间 的 连接 都 是 以 G 为 级 
别 的 ,大 城市 之 间 更 可 以 达到 2. 5Gbps 的 连接 ,这 使 得 攻击 可 以 从 更 远 的 地 方 或 者 其 他 
城市 发 起 ,攻击 者 的 便 偶 机 位 置 可 以 分 布 在 更 大 的 范围 内 ,选择 起 来 更 灵活 了 。 

一 个 比较 完善 的 DDoS 攻击 体系 分 成 3 大 部 分 : 佛 偶 控制 .攻击 用 倪 介 和 攻击 目标 。 
倪 偶 控制 和 攻击 用 倪 儒 分 别 用 作 控 制 和 实际 发 起 攻击 。 对 攻击 目标 来 说 ,DDoSs 的 实际 
攻击 包 是 从 攻击 用 倪 偶 机 上 发 出 的 , 佛 偶 控制 机 只 发 布 命令 而 不 参与 实际 的 攻击 。 对 人 
偶 控 制 和 攻击 用 倪 偶 计算 机 ,黑客 有 控制 权 ( 或 者 部 分 的 控制 权 ) ,并 把 相应 的 DDoS 程序 
上 传 到 这 些 平台 上 ,这 些 程序 与 正常 的 程序 一 样 运行 并 等 待 来 自 黑客 的 指令 ,通常 它 还 会 
利用 各 种 手段 隐藏 自己 ,以 图 不 被 别人 发 现 。 在 平时 ,这 些 倪 偶 机 器 并 没有 什么 异常 ,只 
是 一 旦 黑客 与 它们 连接 进行 控制 ,并 发 出 指令 的 时 候 , 攻 击 俐 偶 机 就 成 为 害 人 者 去 发 起 攻 
击 了 。 发 起 拒绝 服务 攻击 时 ,黑客 通常 要 进行 信息 搜集 ,攻击 其 他 安全 强度 较 低 的 网 络 ， 
在 被 攻击 网 络 的 主机 中 安装 佛 偶 程序 作为 攻击 主机 。 完 成 以 上 工作 后 ,黑客 就 明确 了 攻 
击 目标 ,并 组 成 了 DDoS 攻击 体系 中 的 佛 偶 控制 和 攻击 用 佛 偶 部 分 ,可 以 进行 实际 的 攻 
击 了 。 

拒绝 服务 攻击 由 于 不 是 使 用 什么 漏洞 ,目前 还 没有 很 好 的 解决 方案 ,因此 也 就 被 恶意 
的 入侵 者 大 量 地 使 用 。 前 面 提 到 的 地 址 欺骗 攻击 方式 中 ,入 侵 者 一 般 先 要 对 被 仿 骨 计算 
机 进行 拒绝 服务 攻击 ,使 得 被 仿冒 计算 机 无 法 进行 正常 响应 ,从 而 假冒 应 答 完 成 地 址 
欺骗 。 


11.36 病毒 或 后 门 攻 击 


计算 机 病毒 检测 与 网 络 入 侵 防 御 在 计算 机 与 网 络 技 术 不 断 发 展 的 促进 下 ,出 现 了 需 
要 共同 防御 的 敌人 。 现 在 的 病毒 不 仅 是 通过 磁盘 才能 传播 ,为 了 适应 网 络 日 益 普 及 的 形 
式 ,病毒 也 在 自身 的 传播 方式 中 加 入 了 网 络 这 个 可 能 会 造成 更 大 危害 的 传播 介质 。 为 了 
能 够 在 网 络 上 传播 ,病毒 也 越 来 越 多 地 继承 了 网 络 入 侵 的 一 些 特性 ,成 为 一 种 自动 化 的 软 
体 网 络 入 侵 者 。 它 们 利用 网 络 入 侵 技术 ,通过 网 络 进 行 广 泛 的 传播 渗透 ,红色 代码 病毒 和 
Nimda 病毒 就 属 此 类 。 它 们 利用 网 络 入 侵 的 方式 ,侵入 计算 机 并 利用 被 感染 计算 机 ,对 
周围 的 计算 机 进行 人 侵 扫 描 以 进一步 传播 感染 其 他 计算 机 。 有 些 病毒 (或 者 叫 木马 ) 感 染 
计算 机 ,为 远程 人 侵 者 提供 可 以 控制 被 感染 计算 机 的 后 门 ,著名 的 冰河 病毒 就 属 此 类 。 入 
侵 者 通过 各 种 手段 ,在 用 户主 机 上 安装 后 门 服务 程序 ,并 利用 自身 的 客户 程序 监视 主机 的 
行为 ,甚至 控制 主机 的 操作 。 
病毒 或 后 门 攻击 技术 主要 是 漏洞 攻击 技术 和 社会 工程 学 攻击 技术 的 综合 应 用 。 通 常 
入 侵 者 会 利用 社会 工程 学 将 病毒 或 后 门 绕 过 安全 防御 体系 引入 到 目标 网 络 内 部 。 在 进入 
到 内 部 后 ,病毒 或 后 门 自 身 在 提供 黑客 进行 访问 和 攻击 的 通道 的 同时 ,还 不 断 地 利用 掌握 
的 应 用 漏洞 在 目标 网 络 内 部 进行 广泛 的 散播 。 由 于 病毒 有 很 强 的 自我 保护 和 复制 能 力 ， 
因此 ,借助 于 目标 网 络 内 部 的 网 络 环境 ,可 以 迅速 感染 目标 网 络 中 的 其 他 主机 。 随 着 现在 
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用 户 间 数 据 交换 的 日 益 普 及 ,后 门 和 病毒 被 广泛 地 传播 ,对 网 络 的 安全 及 用 户 的 利益 造成 
了 极 大 的 危害 。 


11.4 针对 网 络 的 攻击 


除了 针对 不 同 的 操作 系统 进行 攻击 外 ,还 有 针对 网 络 设备 的 攻击 。 物 理 网 络 是 网 
络 服务 的 基础 ,在 脆弱 的 网 络 上 是 不 可 能 有 坚固 的 系统 的 。 只 要 网 络 中 存在 远程 控制 
的 渠道 ,就 有 可 能 被 黑客 利用 对 整个 网 络 进行 破坏 。 针 对 网 络 的 攻击 ,主要 的 目标 集 
中 在 网 络 的 接 人 设备 ,如 拨号 服务 器 `VPN 接 人 ,同时 也 会 针对 防火 墙 等 安全 防护 设 
备 。 对 于 无 线 接 人 式 的 网 络 , 黑 客 通常 尝试 对 无 线 信号 进行 接收 ,实现 对 网 络 中 内 容 
的 获取 。 除 了 达到 渗透 的 目的 ,攻击 者 还 经 常 通过 拒绝 服务 的 攻击 方式 对 网 络 进行 攻 
击 , 阻 碍 目标 网 络 对 外 提供 正常 的 服务 ,从 而 对 企业 ,尤其 是 网 络 服务 企业 的 形象 造成 
极 大 的 影响 。 


1141 拨号 和 VPN 攻 击 


随 着 技术 的 进步 ,ADSL 等 宽带 入 户 的 解决 方案 进入 了 千家 万 户 。 但 拨号 网 络 接 人 
以 其 稳定 性 和 设备 的 简单 性 ,到 现在 还 被 广泛 地 使 用 。 其 至 在 一 些 拥有 高 速 网 络 接口 的 
企业 ,由 于 老 设备 继续 使 用 、 内 部 办 公 需 要 等 原因 ,通常 会 保留 拨号 接 入 的 接口 。 而 正 是 
这 些 接口 ,可 能 会 对 企业 网 造成 可 怕 的 安全 影响 。 对 于 存在 安全 保护 不 当 的 远程 访问 服 
务 器 的 网 络 ,黑客 完全 可 以 不 必 在 拥有 防火 墙 保护 的 接口 上 费心 。 通 过 这 些 照管 不 周 的 
接口 就 可 以 顺利 地 实现 对 网 络 的 入 侵 。 拨 号 攻击 与 其 他 攻击 类 似 , 同 样 要 经 过 踩点 、 扫 
描 、 查 点 和 漏洞 发 气 4 个 步骤 。 

拨号 攻击 的 过 程 主要 是 利用 拨号 攻击 工具 顺序 地 拨打 大 量 的 电话 号 码 , 记 录 有 效 的 
数据 连接 ,尝试 确认 在 电话 线 另 一 端的 系统 ,再 通过 猜测 ,以 常用 的 用 户 名 和 保密 短语 有 
选择 地 尝试 登录 。 

1. 准备 拨号 攻击 

拨号 攻击 首先 要 确认 目标 电话 号 码 范 围 。 恶 意 的 黑客 通常 会 从 企业 名 称 着 手 ,从 能 
够 想到 的 尽 可 能 多 的 来 源 汇集 出 一 个 潜在 号 码 范围 的 清单 。 这 其 中 最 明显 的 方式 是 查找 
电话 号 码 敌 。 一 旦 找到 企业 的 主 电话 号 码 , 入 侵 者 通常 会 利用 自动 程序 尝试 拨打 这 个 端 
局 交换 机 号 码 ,根据 反馈 的 连接 尝试 结果 获得 拨号 服务 器 的 号 码 。 

另 一 个 可 能 的 策略 是 利用 社会 工程 学 技术 ,从 安全 意识 不 高 的 企业 人 员 口 中 套 出 目 
标 公 司 的 电话 号 码 信息 。 这 是 获得 公开 的 远程 访问 或 数据 中 心 电 话 线路 信息 的 好 方法 ， 
通常 可 以 获得 与 主 电 话 号 码 不 属于 同一 端 局 的 拨号 服务 器 号 码 。 除 了 使 用 电话 短 外 , 目 
标 公 司 网 站 也 是 寻找 电话 号 码 的 重要 信息 来 源 。 许 多 企业 会 在 Internet 上 发 布 企业 完全 
的 电话 目录 。 

除了 这 些 信 息 以 外 ,对 于 企业 相关 人 员 对 外 注册 信息 的 搜集 更 可 以 进一步 获得 有 用 
的 攻击 信息 。 例 如 ,从 网 络 上 公布 的 域名 注册 详细 信息 .攻击 者 可 以 获得 注册 企业 的 主 电 
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话 号 码 ,同时 ,还 可 以 根据 注册 人 猜测 出 一 个 可 能 的 网 络 用 户 名 称 , 而 通常 这 个 名 称 的 主 
人 属于 企业 的 高 层 用 户 或 系统 的 高 级 管理 人 员 。 

除了 通过 拨号 获得 拨号 服务 器 可 能 的 号 码 以 外 ,通过 拨号 分 析 , 入 侵 者 还 可 以 了 解 到 
公司 人 员 的 姓名 及 工作 状态 信息 ,包括 员工 是 否 在 较 长 时 间 无 法 注意 到 自身 用 户 账号 上 
的 异常 行为 。 通 过 对 员工 电话 问候 语 的 分 析 , 入 侵 者 甚至 可 以 了 解 到 各 个 人 员 在 企业 中 
的 重要 程度 ,并 以 此 进行 攻击 优先 次 序 的 调整 。 

通过 对 拨号 服务 器 反馈 信息 的 分 析 , 可 以 找到 易于 渗透 的 调制 解 调 器 ,在 确认 这 个 
连接 到 底 有 多 脆弱 时 ,往往 需要 仔细 检查 拨号 的 信息 并 手工 进行 跟踪 处 理 。 通 过 对 反 
馈 信息 的 分 析 , 攻 击 者 可 以 获得 服务 器 的 生产 商 以 及 服务 器 的 型 号 版 本 ,根据 这 些 信 
息 ,可 以 选择 正确 的 登录 模式 并 根据 服务 器 可 能 的 默认 账户 和 存在 的 漏洞 进行 进一步 
的 攻击 。 


2 拨号 攻击 渗透 

当 信 息 搜集 有 了 成 果 , 下 一 步 就 是 将 得 到 的 有 价值 信息 进行 分 类 。 通 过 对 服务 器 连 
接 特 性 的 分 析 ,攻击 者 构成 专门 的 攻击 脚本 。 利 用 专门 的 攻击 进行 接 和 性 的 猜测 攻击 。 
影响 攻击 脚本 的 因素 主要 包括 : 

， 连接 是 否 超时 或 尝试 次 数 的 阔 值 ; 

。 超过 阔 值 后 的 处 理 措施 ,如 使 当前 连接 无 效 等 ; 

。 连接 是 否 只 在 一 定时 间 内 允许 ; 

。 认证 的 方式 ; 

。 用 户 代 号 和 密码 的 最 大 字 节 数 及 组 成 字符 的 允许 范围 ; 

。 是 否 对 Ctrl 十 C 等 特殊 键 有 反应 ,从 而 搜集 到 额外 的 信息 ; 

。 系统 标示 信息 ,信息 是 否 会 出 现 变化 及 信息 类 型 。 

根据 对 这 些 因素 相关 信息 的 搜集 ,就 可 以 对 服务 器 实施 攻击 渗透 。 根 据 以 上 因素 ,也 
可 以 确认 服务 器 的 攻击 难度 ,服务 器 攻击 难度 分 为 以 下 5 个 级 别 : 

(1) 第 1 级 ,具有 容易 猜 到 的 进程 使 用 的 密码 。 

(2) 第 2 级 ,单一 认证 ,无 尝试 次 数 限制 。 此 类 系统 只 有 一 个 密码 或 ID, 且 调制 解 调 
器 在 多 次 尝试 失败 后 不 会 断 开 连 接 。 

(3) 第 3 级 ,单一 认证 ,有 尝试 次 数 限制 。 此 类 系统 只 有 一 个 密码 或 ID, 但 调制 解 调 
器 在 预 设 的 尝试 次 数 失 败 后 会 断 开 连接 。 

(4) 第 4 级 ,双重 认证 ,无 尝试 次 数 限制 。 此 类 系统 有 两 种 认证 机 制 。 如 需要 同时 确 
认 用 户 名 和 和 密码, 调制解调器 在 多 次 尝试 失败 后 不 会 断 开 连 接 。 

(5) 第 5 级 ,双重 认证 ,有 尝试 次 数 限制 。 此 类 系统 有 两 种 认证 机 制 。 调 制 解 调 器 在 
预 设 的 尝试 次 数 失败 后 会 断 开 连 接 。 

级 别 越 高 ,攻击 的 难度 越 大 ,脚本 的 处 理 也 就 越 敏 感 。 对 于 属于 第 1 级 的 拨号 接 入 设 
备 ,基本 上 可 以 通过 手工 完成 猜测 过 程 。 根 据 设备 的 类 型 ,使 用 系统 默认 或 其 他 方式 对 获 
得 的 用 户 名 、 密 码 进 行 尝试 ,可 以 顺利 地 进入 到 系统 。 

对 于 属于 第 2 级 的 设备 ,获取 访问 权 所 需要 的 主要 是 密码 。 而 由 于 连接 尝试 没有 次 
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数 限制 ,因此 可 以 通过 字典 方式 的 蛮 力 攻击 进行 密码 猜测 。 第 3 级 的 设备 与 上 一 级 相 比 
攻击 的 时 间 相 对 较 多 ,主要 的 区 别 就 是 在 经 过 一 定 的 猜测 尝试 后 要 进行 挂 起 的 处 理 , 再 重 
新 拨打 尝试 。 对 第 4 级 和 第 5 级 的 设备 的 攻击 ,要 输入 的 信息 更 多 一 些 , 因 此 其 敏感 性 更 
高 ,也 更 容易 犯错 。 所 花 的 时 间 也 要 高 出 许多 。 


3 VPN 攻击 

由 于 电话 网 络 的 稳定 性 和 普及 性 ,拨号 接 入 在 很 长 一 段 时 间 内 还 会 是 重要 的 接 入 方 
式 。 然 而 技术 界 不 断 创 新 的 前 沿 阵地 早已 揭示 了 将 来 的 远程 访问 机 制 , 那 就 是 VPN 虚 
拟 专用 网 。VPN 技术 在 最 近 几 年 蓬勃 发 展 ,并 稳步 进入 了 公用 和 私 用 网 络 体 系 。 虽然 
VPN 相当 注重 连接 的 安全 性 ,但 在 实际 生活 当中 , 仍 不 乏 VPN 网 络 被 成 功 攻破 的 事例 。 

例如 ,对 于 微软 公司 PPTP 实现 ,就 有 着 很 多 的 攻击 工具 。 微 软 公 司 PPTP 协议 的 漏 
洞 主要 体现 在 以 下 几 个 方面 : 

(1) 微软 公司 的 安全 认证 协议 MS CHAP 依赖 于 强度 很 低 的 传统 加 密 函 数 
LanManager 散 列 算法 。 

(2) 用 于 加 密 网 络 数据 的 会 话 密 钥 的 种 子 数据 是 根据 用 户 提供 的 密码 生成 的 ,从 而 
潜在 地 把 实际 的 密 钥 位 长 度 降 到 了 声明 的 40 位 或 128 位 之 下 。 

(3) 会 话 加 密 算法 使 用 对 称 RC4 算法 ,在 发 送 和 接收 双向 会 话 中 密 钥 被 重用 ,削弱 
了 算法 的 强度 ,使 得 会 话 容易 遭受 常见 的 加 密 攻 击 。 

(4) 协商 和 管理 连接 的 控制 通道 完全 未 经 认证 , 易 遭 受 拒绝 服务 型 攻击 和 欺骗 攻击 。 

(5) 只 加 密 了 数据 有 效 负载 ,从 而 允许 窃听 者 从 控制 通道 分 组 中 获得 许多 有 用 的 
信息 。 


4 防范 措施 

对 于 拨号 攻击 的 防范 主要 是 对 企业 中 使 用 的 拨号 接 和 人 设备 进行 管理 ,包括 对 拨号 线 
路 进行 清点 ,消除 未 经 授权 的 拨号 连接 ;同时 将 拨号 服务 集中 ,并 隐蔽 线路 的 号 码 ,包括 不 
公开 相关 的 信息 ,拨号 服务 号 码 不 在 企业 公布 的 电话 号 码 范围 以 及 相关 端 局 范围 内 ;确保 
拨号 设备 的 物理 安全 性 ,提升 拨 入 的 认证 要 求 ,同时 不 显示 标示 信息 并 对 连接 操作 日 志 进 
行 定期 的 分 析 。 当 然 , 除 了 这 些 技术 上 的 防范 方法 ,还 需要 企业 在 管理 上 对 接 和 人 情况 有 严 
格 的 策略 ,防止 接 人 的 随意 性 和 不 可 控 性 。 


1142 针对 防火 墙 的 攻击 


现在 ,防火 墙 已 被 公认 为 企业 网 络 安全 防护 的 基本 设备 。 市 场 上 主要 有 两 类 防火 墙 : 
应 用 代理 和 分 组 过 滤 网 关 。 尽 管 一 般 认为 应 用 代理 比分 组 过 滤 网 关 安 全 ,但 应 用 代理 的 
限制 特性 和 对 性 能 的 影响 却 使 得 它 的 适用 场合 局 限于 从 Internet 上 其 他 位 置 外 来 的 分 组 
流动 ,而 不 是 从 企业 内 部 服务 器 外 出 的 分 组 流动 。 而 分 组 过 滤 网 关 以 及 更 为 先进 的 全 状 
态 分 组 过 滤 网 关 能 在 许多 具有 高 性 能 要 求 的 较 大 机 构 中 较 好 地 运行 。 

防火 墙 自 开始 部 署 以 来 ,已 保护 无 数 的 网 络 躲 过 恶意 的 攻击 行为 ,然而 它们 还 远 远 不 
是 保障 网 络 安 全 的 灵丹妙药 。 市 场 上 每 个 防火 墙 产品 几乎 每 年 都 有 安全 脆弱 点 被 发 现 。 
更 糟糕 的 是 ,大 多 数 防火 墙 往 往 配置 不 当 , 且 没有 人 进行 及 时 的 维护 和 监管 ,失去 了 对 现 
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代 攻 击 进行 防护 的 能 力 。 

由 于 防火 墙 在 开发 和 使 用 中 存在 种 种 的 缺陷 ,因此 攻击 者 可 以 利用 这 些 有 利 的 因素 ， 
对 安置 防火 墙 的 企业 发 动 攻击 。 由 于 现在 的 一 些 错误 心理 ,认为 只 要 安 上 了 防火 墙 就 可 
以 保证 企业 的 安全 ,攻击 者 可 以 轻易 地 进入 到 “柔软 的 网 络 中 心 ”, 进 行 肆意 的 破坏 而 不 被 
及 时 发 觉 。 

需要 指出 的 是 ,现实 世界 中 ,要 想 绕 过 配置 得 当 的 防火 墙 极 为 困难 。 然 而 使 用 
traceroute,nmap 之 类 的 信息 搜集 工具 ,攻击 者 可 以 发 现 或 推断 出 经 由 目标 站 点 的 路 由 器 
和 防火 墙 的 访问 通路 ,并 确定 防火 墙 的 类 型 。 当 前 发 现 的 许多 脆弱 点 ,原因 在 于 防火 墙 的 
错误 配置 和 缺乏 有 效 的 管理 维护 ,这 两 点 一 旦 被 加 以 利用 ,所 导致 的 后 果 将 会 是 毁灭 
性 的 。 


1 防火墙 的 确定 

几乎 每 种 防火 墙 都 会 发 出 独特 的 电子 “气味 ”, 即 凭借 端口 扫描 、 标 示 获 取 等 方式 , 攻 
击 者 能 够 有 效 地 确定 目标 网 络 上 几乎 每 个 防火 墙 的 类 型 .版 本 甚至 所 配置 的 规则 。 一 旦 
确认 了 目标 网 络 的 防火 墙 , 攻 击 者 就 能 够 确认 防火 墙 的 脆弱 点 ,并 利用 这 些 漏洞 对 目标 网 
络 进行 渗透 。 

查找 防火 墙 最 简便 的 方法 就 是 对 特定 的 默认 端口 执行 扫描 。 市 场 上 一 些 防火 墙 使 用 
简单 的 端口 扫描 就 会 显露 原形 。 例 如 ,CheckPoint 的 著名 防火 墙 Firewall 1 监听 256、 
257 和 258 端口 上 的 TCP 连接 ,Microsoft 的 Proxy Server 则 通常 在 1080 和 1745 端口 上 
监听 TCP 连接 。 这 样 , 只 要 利用 端口 扫描 工具 对 网 段 中 的 相关 端口 进行 扫描 ,就 可 以 轻 
易 确 认 防 火 墙 的 类 型 。 

另 一 种 寻找 防火 墙 的 方式 是 使 用 traceroute 这 样 的 路 由 跟踪 工具 。 检 查 到 达 目 标 主 
机 的 路 径 上 每 一 跳 的 具体 地 址 和 基本 名 称 属性 。 通 常 到 达 上 日 标 之 前 的 最 后 一 跳 是 防火 墙 
的 几率 很 大 。 当 然 , 如 果 目 标 存在 不 对 过 期 分 组 进行 响应 的 路 由 器 或 防火 墙 , 那 么 这 种 寻 
找 很 难 达到 效果 ,一 般 需 要 在 获取 路 径 信息 后 ,进行 进一步 的 分 析 检 测 ,确认 最 后 一 跳 是 
否 是 防火 墙 。 

扫描 防火 墙 有 助 于 寻找 防火 墙 ,甚至 确认 防火 墙 的 类 型 。 但 大 多 数 的 防火 墙 并 没有 
打开 默认 端口 进行 监听 ,因此 还 需要 其 他 一 些 定位 防火 墙 的 方法 。 与 很 多 的 应 用 服务 相 
类 似 , 许 多 防火 墙 在 连接 的 时 候 都 会 声明 自己 的 防火 墙 功 能 以 及 类 型 和 版 本 ,这 在 代理 性 
质 的 防火 墙 中 更 为 普遍 。 通 过 了 解 这 些 标示 信息 ,攻击 者 就 能 够 发 掘 出 大 量 已 知 的 漏洞 
或 常见 的 错误 配置 。 

例如 ,在 21 号 端口 上 使 用 Netcat 连接 一 台 怀 疑 是 防火 墙 的 主机 时 ,可 以 看 到 如 下 的 
信息 : 

C: \\>ncvn 192.168.51.129 21 

(UNENONN) \ [192.168.21.129\] 21 (?) cpen 

220 Secure Gateway FTP server ready 

其 中 ,Secure Gateway FTP server ready 是 老式 Ragle Raptor 防火 墙 的 特征 标志 。 
为 了 进一步 确认 ,连接 其 23 号 端口 : 
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C:\\>nc vn 192.168.51.129 23 

(UNENONN) \ [192.168.21.129\] 23 (?) cpen 

Fagle Secure Gateway 

Hostname: 

从 以 上 内 容 就 可 以 进一步 证 明 该 防火 墙 的 类 型 。 同 时 也 可 以 初步 确认 ,这 个 防火 墙 
没有 经 过 很 严格 的 安全 管理 。 

如 果 以 上 的 方法 都 无 法 确认 防火 墙 的 信息 ,那么 攻击 者 需要 使 用 很 高 级 的 技术 查找 
防火 墙 的 信息 。 通 过 探测 目标 并 留意 到 达 目 标 所 经 历 的 路 径 , 攻 击 者 可 以 推断 出 防火 墙 
和 配置 规则 。 例 如 ,可 以 用 nmap 工具 对 目标 主机 进行 扫描 ,获知 哪些 端口 是 打开 的 , 哪 
些 端口 是 关闭 的 ,以 及 哪些 端口 被 阻塞 。 通过 对 这 些 信息 的 分 析 , 可 以 得 到 关于 防火 墙 配 
置 的 大 量 素材 。 

对 于 一 个 配置 不 慎 的 防火 墙 来 说 ,攻击 者 可 以 通过 各 种 分 析 和 扫描 工具 检查 到 它 的 
存在 及 具体 的 类 型 和 配置 信息 。 通 过 这 些 信息 的 搜集 ,攻击 者 可 以 查阅 手头 的 资料 ,找到 
可 以 利用 的 漏洞 或 逻辑 后 门 透 过 或 绕 开 防火 墙 . 进 入 到 企业 内 部 。 


2 源 端 口 扫描 

传统 的 分 组 过 滤 防 火 墙 存在 一 个 很 大 的 缺陷 , 即 不 能 维持 状态 信息 。 由 于 无 法 维持 
状态 ,防火 墙 也 就 不 能 分 辨 出 连接 是 源 于 防火 墙 外 还 是 内 。 这 样 对 部 分 类 型 的 连接 就 无 
法 有 效 地 控制 。 例 如 ,对 于 提供 FTP 服务 的 网 络 ,为 了 允许 FTP 数据 通道 通过 防火 墙 ， 
需要 防火 墙 允许 20 号 端口 与 内 部 网 络 高 数值 端口 的 连接 。 这 样 ,如 果 防 火 墙 不 能 维护 状 
态 信息 ,就 无 法 追踪 一 个 TCP 连接 与 男 一 个 连接 的 关系 ,这 样 ,所 有 从 20 号 端口 到 内 部 
网 络 高 数据 端口 的 连接 都 允许 有 效 地 不 加 阻挡 地 通过 。 

对 于 这 种 传统 的 分 组 过 滤 防 火 墙 ,可 以 利用 这 一 弱点 攻击 防火 墙 后 面 脆弱 的 系统 。 
利用 端口 重 定向 工具 ,可 以 将 远 端口 设 为 20, 从 而 透 过 防火 墙 进行 漏洞 的 挖掘 工作 。 


3 分 组 过 滤 防 火 墙 攻击 

分 组 过 滤 防 火 墙 主要 依赖 于 ACL 规则 确定 各 个 分 组 是 否 有 权 出 入 内 部 网 络 。 大 多 
数 情况 下 ,这 些 ACL 规则 是 精心 设计 的 ,难以 绕 过 。 但 对 于 防火 墙 来 说 ,难免 存在 不 严 
格 的 ACL 规则 ,允许 某 些 类 型 的 分 组 不 受 约束 地 通过 。 例 如 ,企业 希望 自己 的 ISP 提供 
DNS 服务 。 相 关 的 规则 就 可 能 设 为 “允许 来 自 53 号 TCP 源 端口 的 所 有 活动 ”, 这 就 是 一 
个 很 不 严格 的 规则 , 它 将 可 能 允许 攻击 者 从 外 部 扫描 整个 目标 网 络 。 只 要 攻击 者 伪装 成 
53 号 端口 通信 ,就 可 以 顺利 地 透 过 防火 墙 进入 到 企业 网 络 内 部 ,进行 扫描 和 肆意 的 破坏 。 

通常 ,这 种 规则 应 设 定 为 “允许 来 自 ISP 的 DNS 服务 器 的 源 和 目的 TCP 端口 号 均 为 
53 的 活动 "。 这 样 就 可 以 避免 由 于 允许 范围 的 扩大 而 造成 攻击 的 可 能 性 。 

除了 精心 定制 规则 以 外 ,对 于 部 分 防火 墙 ,它们 都 有 默认 打开 的 端口 。 例 如 ， 
CheckPoint 提供 默认 打开 着 的 端口 ,包括 DNS 查找 (53 号 UDP 端口 ) .DNS 区 域 传 送 
(53 号 TCP 端口 ) 和 RIP(520 号 UDP 端口 )。 通 过 这 些 默 认 端 口 的 分 组 数据 一 般 不 会 进 
行 日 志 记 录 。 如 果 攻 击 者 确认 了 防火 墙 的 类 型 ,就 可 以 用 伪装 默认 端口 的 方法 有 效 地 绕 
过 所 设置 的 防火 墙 规则 。 攻 击 者 首先 设法 在 网 络 内 部 安装 后 门 程序 ,这 一 般 可 以 利用 社 
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会 工程 学 中 的 种 种 欺骗 手段 实现 。 之 后 ,攻击 者 就 可 以 利用 这 些 默认 的 端口 与 后 门 程序 
进行 通信 ,进而 在 完全 没有 安全 记录 的 情况 下 实施 对 整个 内 部 网 络 的 攻击 。 


4 应 用 代理 的 攻击 

与 分 组 过 滤 防 火 墙 相 比 ,应 用 代理 的 弱点 较 少 。 一旦 加 强 了 防火 墙 的 安全 并 实施 稳 
固 的 代理 规则 ,代理 防火 墙 是 难以 绕 过 的 。 但 是 ,在 实际 的 运行 中 ,对 应 用 代理 的 错误 配 
置 并 不 少见 

在 使 用 某 些 较 早 的 UNIX 代理 时 ,管理 员 通 常会 忘记 限制 本 地 访问 。 尽 管内 部 用 户 
访问 Internet 时 存在 认证 要 求 ,但 他 们 却 有 可 能 获取 到 防火 墙 本 身 的 本 地 访问 权限 。 如 
果 可 以 进行 本 地 登录 ,防火 墙 本 身 的 安全 性 就 成 了 更 大 的 问题 。 以 前 面 在 防火 墙 扫描 中 
提 到 的 eagle 防火 墙 为 例 , 在 hostname 中 输入 localhost 并 使 用 密码 攻击 技术 ,入 侵 者 就 
有 可 能 获得 防火 墙 的 本 地 访问 权限 。 之 后 ,根据 操作 系统 的 弱点 进行 攻击 ,入 侵 者 获取 
root 用 户 的 权限 并 进一步 控制 整个 防火 墙 。 

一 些 应 用 代理 服务 器 的 安全 性 可 能 很 高 ,建立 了 强壮 的 访问 控制 规则 ,但 很 多 时 候 ， 
系统 管理 员 会 忽略 禁止 外 部 连接 通过 该 代理 的 访问 权限 。 由 于 没有 对 代理 访问 进行 认 
证 ,外 部 攻击 者 可 能 会 将 这 些 代理 服务 器 作为 发 起 攻击 的 跳板 ,隐藏 自己 的 行踪 。 

举例 来 说 ,对 于 目前 很 流行 的 WinGate 代理 防火 墙 软件 , 它 的 默认 参数 包含 很 多 的 
弱点 ,包括 文件 认证 的 Telnet,SOCKS 和 Web。 如 果 管 理 员 只 是 简单 地 安装 并 且 不 进行 
安全 性 的 配置 ,那么 ,这 个 代理 软件 会 被 攻击 者 利用 作为 攻击 的 跳板 。 在 网 络 上 ,有 着 大 
量 的 诸如 此 类 的 代理 防火 墙 , 给 安全 管理 员 追 踪 可 能 的 入 侵 行 为 带 来 了 很 大 的 困难 。 妈 
于 WinGate 来 说 ,默认 的 参数 甚至 允许 用 户 通过 管理 端口 远程 查看 系统 的 文件 。 这 样 就 
给 WinGate 系统 本 身 带 来 了 极 大 的 漏洞 ,入 侵 者 只 需要 连接 WinGate 的 管理 端口 ,就 可 
以 顺利 浏览 系统 中 的 所 有 文件 ,获取 系统 中 存放 的 用 于 认证 的 用 户 名 和 密码 。 


1143 网 络 拒绝 服务 攻击 


破坏 一 个 网 络 或 系统 的 运作 往往 比 真正 取得 它们 的 访问 权限 容易 得 多 ,现在 不 断 出 
现 的 具有 强 破坏 性 的 种 种 拒绝 服务 攻击 就 说 明了 这 一 点 。 像 TCP/IP 之 类 的 网 络 互联 协 
议 是 按照 在 开放 和 彼此 信任 的 群体 中 使 用 来 设计 的 ,在 当前 的 现实 环境 中 却 表 现 出 内 在 
的 缺陷 。 此 外 ,许多 操作 系统 和 网 络 设备 的 网 络 协 议 栈 也 存在 缺陷 ,从 而 削弱 了 它们 抵抗 
DoS 攻击 的 能 力 。 

DoS 攻击 威胁 了 大 范围 的 网 络 服务 , 它 不 仅 造成 了 服务 的 中 断 ,部 分 攻击 还 会 造成 系 
统 的 完全 崩溃 甚至 设备 的 损毁 ,是 目前 最 具有 危险 性 的 攻击 。 


1 DoS 攻 击 类 型 
DoS 攻击 从 攻击 目的 和 手段 上 主要 分 为 以 下 一 些 类 型 ,它们 以 不 同 的 方式 对 目标 网 
络 造成 破坏 。 
(1) 带宽 耗 用 DoS 攻击 
最 阴险 的 DoS 攻击 是 带宽 耗 用 攻击 。 它 的 本 质 就 是 攻击 者 消耗 掉 通达 某 个 网 络 的 
所 有 可 用 的 带宽 。 这 种 攻击 可 以 发 生 在 局 域 网 上 ,不 过 更 常见 的 是 攻击 者 远程 消耗 资源 。 
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为 了 达到 这 一 目的 ,一 种 方法 是 攻击 者 通过 使 用 更 多 的 带宽 造成 受害 者 网 络 的 拥塞 。 对 
于 拥有 100Mbps 带宽 网 络 的 攻击 者 来 说 ,对 于 Tl 连接 的 站 点 进行 攻击 可 以 完全 填塞 目 
标 站 点 的 网 络 链 路 。 另 一 种 方法 是 攻击 者 通过 征用 多 个 站 点 集中 拥塞 受害 者 的 网 络 连接 
来 放大 DoS 攻击 效果 。 这 样 带宽 受 限 的 攻击 者 就 能 够 轻易 地 汇集 相当 高 的 带宽 ,成 功 地 
实现 对 目标 站 点 的 完全 堵塞 。 

(2) 资源 衰竭 DoS 攻击 

资源 衰竭 攻击 与 带宽 耗 用 攻击 的 差异 在 于 前 者 集中 于 系统 资源 而 不 是 网 络 资源 的 消 
耗 。 一 般 来 说 , 它 涉及 诸如 CPU 利用 率 、 内 存 、 文 件 系 统 和 系统 进程 总 数 之 类 系统 资源 
的 消耗 。 攻 击 者 往往 拥有 一 定数 量 系统 资源 的 合法 访问 权 。 之 后 ,攻击 者 会 滥用 这 种 访 
问 权 消 耗 额外 的 资源 ,这 样 ,系统 或 合法 用 户 被 剥夺 了 原来 享有 的 资源 ,造成 系统 骨 溃 或 
可 利用 资源 耗 尽 。 

(3) 编程 缺陷 DoS 攻击 

部 分 DoS 攻击 并 不 需要 发 送 大 量 的 数据 包 来 进行 攻击 。 编 程 缺陷 攻击 就 是 利用 应 
用 程序 .操作 系统 等 在 处 理 异常 条 件 时 的 逻辑 错误 实施 的 DoS 攻击 。 攻 击 者 通常 向 目标 
系统 发 送 精心 设计 的 畸形 分 组 来 试图 导致 服务 的 失效 和 系统 的 崩 汝 。 

(4) 基于 路 由 的 DoS 攻击 

在 基于 路 由 的 DoS 攻击 中 ,攻击 者 操纵 路 由 表 项 以 拒绝 向 合法 系统 或 网 络 提供 服 
务 。 诸 如 路 由 信息 协议 和 边界 网 关 协议 之 类 较 早 版 本 的 路 由 协议 没有 或 只 有 很 弱 的 认证 
机 制 。 这 就 给 攻击 者 变换 合法 路 径 提供 了 良好 的 前 提 , 往 往 通 过 假冒 源 IP 地 址 就 能 创建 
DoS 攻击 。 这 种 攻击 的 后 果 是 受害 者 网 络 的 分 组 或 者 经 由 攻击 者 的 网 络 路 由 ,或 者 被 路 
由 到 不 存在 的 黑洞 网 络 上 。 

(5) 基于 DNS 的 DoS 攻击 

基于 DNS 的 攻击 与 基于 路 由 的 DoS 攻击 类 似 。 大 多 数 的 DNS 攻击 涉及 欺骗 受害 
者 的 域名 服务 器 高 速 缓存 虚假 的 地 址 信息 。 这 样 , 当 用 户 请求 某 DNS 服务 器 执行 查找 请 
求 的 时 候 , 攻 击 者 就 达到 了 把 它们 重 定向 到 自己 喜欢 的 站 点 上 的 效果 。 


2 DoS 攻 击 手 段 

一 些 DoS 攻击 可 以 影响 许多 类 型 的 系统 ,将 系统 的 网 络 带 宽 或 资源 耗 尽 。 这 些 攻击 
的 常用 要 素 是 协议 操纵 。 如 果 诸 如 ICMP 这 样 的 协议 被 操纵 用 于 攻击 目的 , 它 就 有 能 力 
同时 影响 许多 系统 。Dos 攻击 主要 有 以 下 攻击 手段 。 

(1) Smurf 攻击 

Smurf 攻击 是 一 种 最 令 人 害怕 的 DoS 攻击 。 该 攻击 向 一 个 网 络 上 的 多 个 系统 发 送 
定向 广播 的 ping 请 求 , 这 些 系统 接着 对 请 求 做 出 响应 ,造成 了 攻击 数据 的 放大 。Smurf 
攻击 通常 需要 至 少 3 个 角色 : 攻击 者 .放大 网 络 和 受害 者 。 攻 击 者 向 放大 网 络 的 广播 地 
址 发 送 源 地 址 ,伪造 成 受害 者 系统 的 ICMP 回 射 请 求 分 组 。 放 大 网 络 中 的 各 个 主机 相继 
向 受害 者 系统 发 出 响应 。 如 果 攻 击 者 给 一 个 拥有 100 个 会 对 广播 ping 请 求 做 出 响应 的 
系统 的 放大 网 络 发 出 ICMP 分 组 , 它 的 DoS 攻击 效果 就 放大 了 100 倍 。 这 样 ,大 量 的 
ICMP 分 组 发 送 给 受害 者 系统 ,造成 网 络 带宽 的 耗 尽 。 
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(2) SYN 洪 泛 

在 Smurf 攻击 流行 前 ,SYN 洪 泛 一 度 是 最 具有 破坏 性 的 DoS 攻击 。 从 原理 上 讲 , 主 
要 是 利用 TCP 连接 的 三 次 握手 过 程 中 的 资源 不 平衡 性 。 发 动 SYN 攻击 时 ,攻击 者 会 发 
送 一 个 从 系统 A 到 系统 BB 的 SYN 分 组 ,不 过 他 用 一 个 不 存在 的 系统 伪装 源 地 址 。 系 统 
B 试图 发 送 SYN/ACK 分 组 到 这 个 欺骗 地 址 。 由 于 响应 的 系统 并 不 存在 ,因此 B 系统 就 
无 法 收 到 响应 的 RST 分 组 或 ACK 分 组 ,直到 连接 超时 。 由 于 连接 队列 的 容量 通常 很 
小 ,攻击 者 通常 只 需要 10 秒 钟 发 送 若 干 SYN 分 组 就 能 够 完全 禁止 某 个 特定 的 端口 ,造成 
相对 应 的 服务 无 法 对 正常 的 请 求 进行 响应 。 这 种 攻击 非常 具有 破坏 性 。 首 先 , 它 成 功 地 
引发 SYN 洪 泛 只 需要 很 小 的 带宽 。 其 次 ,由 于 攻击 者 对 SYN 分 组 的 源 地 址 进行 伪装 ， 
而 使 得 SYN 洪 泛 成 了 隐蔽 的 攻击 ,查找 发 起 者 变 得 非常 困难 。 

(3) PTR 记录 欺诈 

递归 的 功能 允许 DNS 服务 器 处 理 不 是 自己 所 服务 区 域 的 解析 请 求 。 当 某 个 DNS 服 
务 器 接收 到 一 个 不 是 自己 所 服务 区 域 的 查询 请 求 时 , 它 将 把 该 请 求 间 接 传送 给 所 请 求 区 
域 的 权威 性 DNS 服务 器 。 从 这 个 权威 性 服务 器 接收 到 响应 后 ,最 初 的 DNS 服务 器 把 该 
响应 发 回 给 请 求 方 。 对 于 脆弱 的 BIND 版 本 ,攻击 者 利用 DNS 递归 的 功能 ,产生 虚假 的 
高 速 缓存 DNS 信息 。 该 攻击 称 为 PTR 记录 欺诈 , 它 发 掘 的 是 从 IP 地 址 映射 到 主机 名 称 
过 程 中 的 漏洞 。 通 过 将 主机 名 称 映 射 到 其 他 IP 地 址 或 不 存在 的 IP 地 址 ,用 户 就 无 法 正 
确 地 获得 需要 的 服务 ,达到 拒绝 服务 的 目的 。 


3. DDoS 攻 击 

2000 年 2 月 ,出 现 了 分 布 式 的 拒绝 服务 攻击 ,多 个 著名 的 网 站 受到 了 这 种 攻击 ,造成 
了 不 可 估量 的 损失 。DDoS 攻击 的 第 一 步 是 瞄准 并 获得 尽 可 能 多 的 系统 管理 员 访问 权 。 
这 种 相当 危险 的 任务 通常 是 用 客户 化 的 攻击 脚本 来 指定 脆弱 的 系统 。 一 旦 获得 了 对 系统 
的 访问 权 ,攻击 者 会 将 DDoS 软件 上 传 并 运行 ,大 多 数 的 DDoS 服务 器 程序 运行 的 方式 是 
监听 发 起 攻击 的 指令 。 这 样 攻 击 者 只 须 将 需要 的 软件 上 传 到 尽 可 能 多 的 受 损 系统 上 , 然 
后 等 待 适当 的 时 机 发 起 攻击 命令 即 可 。 

TFN 攻击 是 第 一 个 公开 的 UNIX 分 布 式 拒绝 服务 攻击 。TFN 有 客户 端 和 服务 器 端 
组 件 ,允许 攻击 者 将 服务 器 程序 安装 至 远程 的 系统 上 ,然后 在 客户 端 上 使 用 简单 的 命令 ， 
就 可 以 发 起 完成 分 布 式 拒绝 服务 攻击 。 

Stacheldraht 更 进一步 , 它 将 主 控 与 被 控 之 间 的 通信 进行 了 加 密 , 躲 避 入 侵 检测 
系统 的 检测 。 同 时 它 还 可 以 用 rcp 命令 在 需要 时 升级 服务 器 组 件 ,进行 新 的 DDoS 
攻击 。 


115 本 章 小 结 


黑客 攻击 的 动机 主要 包括 好 奇 心 .个 人 声望 ,智力 挑战 .窃取 情报 、 报 复 、 金 钱 和 政治 
目的 等 。 
黑客 攻击 的 流程 可 归纳 为 踩点 ,扫描 \ 查 点 ` 获 取 访 问 权 ` 权 限 提升 窃取 ,掩盖 踪 迹 、 
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创建 后 门 和 拒绝 服务 攻击 。 

黑客 所 使 用 的 和 人 侵 技术 主要 包括 协议 漏洞 渗透 、 密 码 分 析 还 原 、 应 用 漏洞 分 析 与 渗 
透 , 社 会 工程 学 .拒绝 服务 攻击 、 病 毒 或 后 门 攻击 。 

针对 不 同 的 网 络 有 不 同 的 攻击 方法 ,主要 的 方法 有 拨号 和 VPN 攻击 、 针 对 防火 墙 的 
攻击 ,拒绝 服务 攻击 。 


习 题 


1. 黑客 攻击 的 流程 是 什么 ? 

2. 黑客 是 否 只 有 通过 计算 机 才能 够 获取 你 的 秘密 ? 

3.“ 会 话 侦 听 与 劫持 技术 ”属于 ( ) 技 术 。 
A. 密码 分 析 还 原 B. 协议 漏洞 渗透 
C. 应 用 漏洞 分 析 与 渗透 D. DoS 攻击 

4. 比较 “密码 还 原 技 术 ” 和 “密码 猜测 技术 ”。 

5. 拒绝 服务 攻击 的 主要 目的 是 什么 ? 

6. 针对 防火 墙 的 攻击 为 什么 可 能 成 功 ? 
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第 12 痘 
”漏洞 扫描 


本 章 要 点 : 

。 计 算 机 漏洞 的 定义 及 存在 的 原因 ; 

。 网 络 安全 扫描 的 3 个 阶段 ; 

。 常用 的 网 络 扫 描 工 具 ; 

。 基于 网 络 的 扫描 和 基于 主机 的 扫描 的 比较 。 


_ | asl 计算 机 漏洞 


1211 计算 机 漏洞 的 概念 


从 众多 报刊 杂志 或 者 网 络 资源 中 ,人 们 或 许 已 经 对 计算 机 系统 的 “漏洞 ?这 个 概念 有 
了 一 个 感性 的 理解 。 确 实 , 这 里 的 “漏洞 ?并 不 是 一 个 物理 上 的 概念 , 它 是 指 计算 机 系统 具 
有 的 某 种 可 能 被 人 侵 者 恶意 利用 的 属性 。 在 计算 机 安全 领域 ,安全 漏洞 (security hole) 通 
常 又 称 为 脆弱 性 (vulnerability)。 

在 研究 计算 机 脆弱 性 的 过 程 中 ,对 于 “计算 机 脆弱 性 (computer vulnerability)” 这 个 
词组 的 精确 定义 争议 很 大 ,其 中 1996 年 Matt Bishop 和 Dave Bailey 给 出 的 关于 “计算 机 
脆弱 性 ”的 定义 是 得 到 广泛 认可 的 定义 之 一 。 

。“ 计 算 机 系统 由 一 系列 描述 构成 计算 机 系统 的 实体 的 当前 配置 状态 (state) 组 成 ， 

系统 通过 应 用 状态 变换 (state transition)( 即 改变 系统 状态 ) 实 现 计 算 。 使 用 一 组 
状态 变换 ,从 给 定 的 初始 状态 可 以 到 达 的 所 有 状态 最 终 分 为 由 安全 策略 定义 的 两 
类 状态 : 已 授权 的 (authorized) 和 未 授权 的 Cunauthorized) 。” 

。“ 脆 弱 (vulnerable) 状 态 是 指 能 够 使 用 已 授权 的 状态 变换 到 达 示 授权 状态 的 已 授 
权 状 态 。 受 损 (compromised) 状 态 是 指 通 过 上 述 方法 到 达 的 状态 。 攻 击 (attack) 
是 指 以 受 损 状 态 结束 的 已 授权 状态 变换 的 顺序 。 由 定义 可 知 ,攻击 开始 于 脆弱 
状态 。” 

。“ 脆 弱 性 是 指 脆弱 状态 区 别 于 非 脆 弱 状态 的 特征 。 广 义 地 讲 , 脆 弱 性 可 以 是 很 多 

脆弱 状态 的 特征 ;狭义 地 讲 , 脆 弱 性 可 以 只 是 一 个 脆弱 状态 的 特征 。” 

简单 地 说 ,计算 机 漏洞 是 系统 的 一 组 特性 ,恶意 的 主体 (攻击 者 或 者 攻击 程序 ) 能 够 利 
用 这 组 特性 ,通过 已 授权 的 手段 和 方式 获取 对 资源 的 未 授权 访问 ,或 者 对 系统 造成 损害 。 
这 里 的 漏洞 既 包括 单个 计算 机 系统 的 脆弱 性 .也 包括 计算 机 网 络 系统 的 漏洞 。 当 系统 的 
某 个 漏洞 被 人 侵 者 渗透 (exploit) 而 造成 泄密 时 ,其 结果 就 称 为 一 次 安全 事件 (security 
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incident) 。 


人 12 存在 漏洞 的 原因 


现在 仍然 在 Internet 上 使 用 的 基础 协议 中 ,有 很 多 早期 的 协议 在 最 初 设 计时 并 没有 
考虑 安全 方面 的 需求 。 另 外 ,无 论 从 物理 的 拓扑 连接 还 是 应 用 于 其 上 的 技术 来 看 ， 
Internet 都 是 一 个 变化 相当 迅速 的 动态 环境 。 要 在 这 样 一 个 基础 并 不 安全 的 动态 的 、 分 
布 的 环境 中 保证 应 用 的 安全 就 变 得 比较 困难 。 

正 是 由 于 Internet 的 开放 性 和 Internet 协议 的 原始 设计 ,在 Internet 上 实施 普通 的 
电子 攻击 可 以 是 快速 .容易 、 低 成 本 的 ,甚至 有 些 攻击 很 难 被 检测 或 者 跟踪 到 。 攻 击 者 无 
须 与 被 攻击 的 目标 有 物理 上 的 接触 ,就 可 以 通过 无 所 不 在 的 网 线 将 他 实施 攻击 的 电子 信 
号 传递 到 四 面 八 方 ,而 他 自己 却 可 以 隐藏 在 世界 上 任何 一 个 不 为 人 知 的 地 点 。 他 甚至 可 
以 "攻破 ”( 取 得 特殊 权限 ) 某 一 个 站 点 将 其 作为 自己 的 据点 。 

即便 如 此 ,很 多 站 点 仍然 在 Internet 上 使 用 没有 安全 保证 的 信任 策略 。 也 有 很 多 站 
点 甚至 连 他 们 在 Internet 上 使 用 的 是 什么 信任 策略 都 不 清楚 。 这 些 站 点 可 能 认为 攻击 者 
不 会 将 自己 作为 目标 ,或 者 认为 自己 已 经 对 可 能 的 攻击 做 好 足够 的 预防 。 但 Internet 上 
应 用 的 技术 可 以 说 是 瞬息 万 变 的 ,攻击 者 的 技术 和 工具 也 在 不 断 发 展 ,任何 一 种 安全 的 解 
决 方案 都 必须 不 断 更 新 才能 够 适应 这 样 的 变化 。 

另外 ,在 Internet 上 传送 的 很 多 数据 都 是 没有 加 密 的 明文 ,这 不 仅 威胁 到 使 用 明文 传 
输 的 各 种 应 用 ,也 威胁 到 某 些 认证 和 授权 的 方式 。 因 为 明文 传输 使 得 嗅 探 (sniffer) 网 络 
数据 成 为 可 能 。 如 果 某 一 个 站 点 被 安装 了 网 络 嗅 探 软件 , 且 这 个 站 点 允许 人 侵 者 嗅 探 其 
他 区 域 的 网 络 数据 , 它 就 很 可 能 威胁 到 其 他 站 点 的 安全 性 。 

Internet 上 存在 漏洞 的 另 一 个 原因 是 Internet 上 高 速 膨胀 的 应 用 类 型 。 各 种 各 样 诺 
新 的 ,复杂 的 网 络 服务 软件 层出不穷 ,通常 这 些 服 务 在 设计 、 部 署 和 维护 阶段 都 会 出 现 安 
全 问题 。 在 将 新 产品 快速 推 入 市 场 的 过 程 中 ,程序 员 不 能 保证 他 们 不 犯 以 前 犯 过 的 错误 ， 
也 不 能 保证 不 引入 新 的 错误 ,这 都 可 能 造成 服务 软件 本 身 的 漏洞 。 另 一 方面 ,一 些 商 业 操 
作 系 统 通常 宣称 自己 为 迎合 用 户 的 需求 而 设计 ,为 了 提供 易 用 性 、 易 维护 性 而 牺牲 一 些 安 
全 性 。 虽 然 在 很 多 时 候 用 户 都 可 以 通过 自 定 义 安全 策略 加 强 安全 性 ,但 事实 上 很 少 有 用 
户 会 这 么 做 。 另 外 ,快速 增加 的 复杂 应 用 需要 大 量 经 过 培训 的 系统 管理 员 或 者 专家 用 户 ， 
而 实际 的 情况 是 很 多 没有 经 验 的 管理 员 被 委 以 安全 管理 的 任务 。 这 些 情况 都 增加 了 系统 
被 攻击 的 机 会 。 

从 技术 角度 而 言 ,漏洞 的 来 源 主要 有 以 下 几 个 方面 ， 

(1) 软件 或 协议 设计 时 的 瑕 盖 

协议 定义 了 网 络 上 计算 机 会 话 和 通信 的 规则 ,如 果 在 协议 设计 时 存在 甫 疲 ,那么 无 论 
实现 该 协议 的 方法 多 么 完美 , 它 都 存在 漏洞 。 网 络 文件 系统 (network file system,NFS) 
便 是 一 个 例子 。NFS 提供 的 功能 是 在 网 络 上 共享 文件 ,这 个 协议 本 身 不 包括 认证 机 制 ， 
也 就 是 说 无 法 确定 登录 到 服务 器 的 用 户 确实 是 某 一 个 用 户 ,所 以 NFS 经 常 成 为 攻击 者 的 
目标 。 另 外 ,在 软件 设计 之 初 ,通常 不 会 存在 不 安全 的 因素 。 然 而 当 各 种 组 件 不 断 添加 进 
来 的 时 候 , 软 件 可 能 就 不 会 像 当初 期 望 的 那样 工作 ,从 而 可 能 引入 不 可 知 的 漏洞 。 
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(2) 软件 或 协议 实现 中 的 弱点 

即使 协议 设计 得 很 完美 ,实现 协议 的 方式 仍然 可 能 引入 漏洞 。 例 如 ,和 E-mail 有 关 
的 某 个 协议 的 某 种 实现 方式 能 够 让 攻击 者 通过 与 受害 主机 的 邮件 端口 建立 连接 ,达到 欺 
骗 受 害 主 机 执行 意 想不到 的 任务 的 目的 。 如 果 入 侵 者 在 "To:” 字 段 填写 的 不 是 正确 的 
E-mail 地 址 ,而 是 一 段 特殊 的 数据 ,受害 主机 就 有 可 能 把 用 户 和 密码 信息 送 给 入 侵 者 ,或 
者 使 人 侵 者 具有 访问 受 保护 文件 和 执行 服务 器 上 程序 的 权限 。 这 样 的 漏洞 使 攻击 者 不 需 
要 访问 主机 的 凭证 就 能 够 从 远 端 攻击 服务 器 。 

(3) 软件 本 身 的 甫 站 

这 类 漏洞 又 可 以 分 为 很 多 子 类 。 例 如 ,没有 进行 数据 内 容 和 大 小 检查 ,没有 进行 成 
功 /失败 检查 ,不 能 正常 处 理 资源 耗 尽 的 情况 ,对 运行 环境 没有 做 完整 检查 ,不 正确 地 使 用 
系统 调用 ,或 者 重用 某 个 组 件 时 没有 考虑 到 它 的 应 用 条 件 。 攻 击 者 通过 渗透 这 些 漏 洞 , 即 
使 不 具有 特权 账号 ,也 可 能 获得 额外 的 、 未 授权 的 访问 。 

(4) 系统 和 网 络 的 错误 配置 

这 一 类 的 漏洞 并 不 是 由 协议 或 软件 本 身 的 问题 造成 的 ,而 是 由 服务 和 软件 的 不 正确 
部 署 和 配置 造成 的 。 通 常 这 些 软件 安装 时 都 会 有 一 个 默认 配置 ,如 果 管 理 员 不 更 改 这些 
配置 ,服务 器 仍然 能 够 提供 正常 的 服务 ,但 是 入 侵 者 就 能 够 利用 这 些 配置 对 服务 器 造成 威 
胁 。 例 如 ,SQL Server 的 默认 安装 就 具有 用 户 名 为 sa 密码 为 空 的 管理 员 账 号 ,这 确实 是 
一 件 十 分 危险 的 事情 。 另 外 ,对 FTP 服务 器 的 匿名 账号 也 同样 应 该 注意 权限 的 管理 。 


人 13 公开 的 计算 机 漏洞 信息 


计算 机 系统 的 漏洞 本 身 不 会 对 系统 造成 损坏 。 漏 洞 的 存在 ,只 是 为 和 侵 者 侵入 系统 
提供 了 可 能 。 正 因为 如 此 ,早期 的 很 多 人 都 认为 应 该 把 发 现 的 漏洞 隐 眶 起 来 ,至 少 不 应 该 
让 每 一 个 Internet 用 户 都 知晓 。 这 样 知道 漏洞 的 人 越 少 ,系统 就 越 安 全 。 但 事实 上 真正 
的 入侵 者 总 是 有 办 法 从 各 种 渠道 获得 各 种 漏洞 的 相关 信息 ,他 们 也 能 够 使 用 各 种 方法 找 
出 网 络 上 存在 漏洞 的 系统 。 因 此 ,漏洞 的 公开 ,受益 最 大 的 还 是 系统 管理 员 。 公 开 漏 洞 可 
以 促使 提供 软件 或 硬件 的 厂商 更 快 地 解决 问题 ,也 可 以 让 系统 管理 员 更 有 针对 性 地 对 自 
己 管理 的 系统 进行 配置 和 管理 。 多 年 的 实践 也 使 人 们 逐渐 认识 到 ,建立 在 漏洞 公开 基础 
之 上 的 安全 才 是 更 可 靠 的 安全 。Internet 上 已 经 有 许多 关于 各 种 漏洞 的 描述 和 与 此 相关 
的 数据 库 。 下 面 是 一 些 比较 权威 的 漏洞 信息 资源 。 

1 通用 漏洞 和 曝光 

通用 漏洞 和 曝光 (CVE) 是 一 个 公共 安全 漏洞 和 曝光 信息 的 标准 化 名 字 列 表 。 它 致 
力 于 为 所 有 公开 的 漏洞 和 安全 曝光 名 称 标准 化 的 工作 。CVE 是 一 个 字典 而 不 是 数据 库 ， 
它 的 目标 是 使 不 同 的 漏洞 数据 库 共享 数据 和 搜索 信息 变 得 更 加 容易 。 目 前 已 经 有 200 多 
个 组 织 .产品 和 安全 警告 提供 服务 实现 了 *CVE 兼容 *。 更 加 具体 的 信息 可 以 访问 CVE 


的 网 站 www. cve. mitre. org。 
2 Bugraq 漏 洞 数据 库 
BugTraq 是 由 SecurityFocus 公司 维护 的 一 个 关于 计算 机 安全 漏洞 详细 信息 讨论 的 
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邮件 列表 ,讨论 内 容 包括 漏洞 的 描述 .漏洞 的 渗透 方法 及 漏洞 的 修补 方法 等 。 与 这 个 邮件 
列表 相关 的 漏洞 数据 库 是 一 个 CVE 兼容 的 数据 库 , 提 供 了 包括 以 上 讨论 内 容 在 内 的 非 
常 详细 的 漏洞 信息 。 任 何人 都 可 以 从 Internet 上 检索 这 个 数据 库 , 而 且 该 数据 库 提供 了 
5 种 检索 方式 : 软件 提供 商 , 标 题 ,关键 字 、BugTrag ID 和 CVE ID。 另 外 需要 提 及 的 是 ， 
BugTraq 漏洞 数据 库 包括 的 某 些 漏洞 并 没有 CVE ID, 所 以 有 的 安全 工具 的 漏洞 库 里 既 
提供 CVE ID, 也 提供 BugTraq ID, 以 方便 用 户 检 索 漏洞 信息 。 


3 ICAT 漏 洞 数据 库 

ICAT 是 由 美国 标准 技术 研究 所 (National Institute of Standard Technology, NIST) 
维护 的 一 个 CVE 兼容 的 漏洞 信息 检索 索引 。 它 提供 了 非常 灵活 的 检索 方式 ,任何 人 都 
可 以 从 Web 页 面 进行 检索 ,同时 ICAT 也 提供 可 以 下 载 的 Microsoft Access 格式 的 数据 
库 文件 。 每 条 漏洞 记录 的 信息 包括 漏洞 的 CVE 名 字 ,发布 时 间 、 描 述 .危险 等 级 ,漏洞 类 
型 .实施 范围 、. 受 影响 系统 和 参考 链接 等 。 


4 CERVCC 漏 洞 信息 数据 库 

CERT/CC 漏洞 数据 库 也 是 一 个 CVE 兼容 的 数据 库 。 可 以 通过 名 字 ID 号 ,CVE 名 
字 、 公 布 日 期 ,更 新 日 期 和 严重 性 等 方法 检索 漏洞 信息 。 漏 洞 记 录 包 括 漏洞 描述 .影响 . 解 
决 方案 、 受 影响 系统 和 参考 链接 等 信息 。 

5 XFeorce 数 据 库 

X-Force 数据 库 由 ISS 公司 维护 ,是 一 个 比较 全 面 的 漏洞 信息 数据 库 。 可 以 在 Web 
页 面 上 使 用 关键 字 对 数据 库 进行 检索 ,检索 到 的 漏洞 记录 包括 漏洞 描述 、 受 影响 平台 、 补 
救 措施 .风险 等 级 .影响 结果 ,报告 时 间 和 参考 链接 等 信息 。 与 上 面 几 个 数据 库 一 样 , 它 也 
是 CVE 兼容 的 。 


122 ”实施 网 络 扫 描 


黑客 在 真正 侵入 系统 之 前 ,通常 都 会 先进 行 下 面 3 项 工作 : 踩点 .扫描 和 查 点 。 

一 次 完整 的 网 络 扫描 主要 分 为 以 下 3 个 阶段 : 

(1) 发 现 目标 主机 或 网 络 。 

(2) 发 现 目标 后 进一步 搜集 目标 信息 ,包括 操作 系统 类 型 .运行 的 服务 及 服务 软件 的 
版 本 等 。 如 果 目 标 是 一 个 网 络 , 还 可 以 进一步 发 现 该 网 络 的 拓扑 结构 .路 由 设备 及 各 主机 
的 信息 。 

(3) 根据 搜集 到 的 信息 判断 或 者 进一步 检测 系统 是 否 存在 安全 漏洞 。 下 面 将 分 别 说 
明 这 3 个 阶段 使 用 的 扫描 技术 和 方法 。 


1221 发 现 目 标 


这 一 阶段 就 是 通过 发 送 不 同类 型 的 ICMP 或 者 TCP,UDP 请 求 , 从 多 个 方面 检测 目 
标 主 机 是 否 存活 。 在 这 一 阶段 使 用 的 技术 通常 称 为 ping 扫射 (ping sweep) ,包括 ICMP 
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扫射 .广播 ICMP 非 回 显 ICMP、TCP 扫射 .UDP 扫射 。 


1 ICVP 扫射 

ICMP 是 IP 层 的 一 个 组 成 部 分 ,用 来 传递 差错 报 文 和 其 他 需要 注意 的 信息 。 经 常用 
到 的 ping 命令 就 是 使 用 的 ICMP。ICMP 报 文 
是 在 IP 数据 报 内 部 传输 的 , 如 图 12-1 所 示 。 
ICMP 的 正式 规范 参见 RFC792。 

ICMP 报 文 的 格式 如 图 12-2 所 示 。 报 文 的 20 字 节 
前 两 个 字 节 决定 了 报 文 的 类 型 。 第 3 个 和 第 4 图 12-1 ICMP 报 文 封装 在 IP 数据 报 内 
个 字 节 是 ICMP 报 文 的 校 验 和 字段 。 

ICMP 扫射 利用 了 类 型 为 8 的 ICMP 报 文 , 即 ICMP 回 显 请 求 。 通常 网 络 上 收 到 
ICMP 回 显 请 求 的 主机 都 会 向 请 求 者 发 送 ICMP 回 显 应 答 ( 类 型 为 0) 报 文 。 这 样 ,如 果 发 


IP 数 据 报 一 | 
| IP 头 部 ICMP 报 文 


0 7 8 15 16 31 
8 位 类 型 8 位 代码 | 16 位 校 验 和 


Z 不 同 的 类 型 和 代码 有 不 同 的 内 容 pa 


图 12-2 ICMP 报 文 格式 


送 者 接收 到 来 自 目 标的 ICMP 回 显 应答 ,就 能 知道 目标 目前 处 于 存活 状态 ;否则 可 以 初步 
判断 主机 没有 在 线 。 使 用 这 种 方法 轮 询 多 个 主机 称 为 ICMP 扫射 。 这 是 用 来 发 现 目标 的 
最 原始 的 方法 。 

可 用 于 ICMP 扫射 的 工具 很 多 。 在 UNIX 环境 中 主要 有 ping 和 fping。 传 统 的 ping 
在 执行 扫射 时 速度 很 慢 ,因为 它 在 探测 下 一 台 潜 在 主机 前 要 等 待 当前 探测 的 系统 给 出 响 
应 或 者 超时 。 而 fping 在 扫射 多 个 IP 地 址 时 ,速度 明显 超过 ping 的 速度 。 与 fping 一 同 
使 用 的 有 一 个 叫 作 gping 的 工具 , 它 为 fping 生成 扫射 的 IP 地 址 列表 。 在 Windows 环境 
中 可 以 使 用 出 自 Rhino9 的 Pinger。 另 外 ,nmap 的 SP 选项 也 提供 了 ICMP 扫射 的 能 力 。 

ICMP 扫射 虽然 非常 简单 ,但 它 并 不 十 分 可 靠 。 因 为 目标 可 以 阻止 对 ICMP 回 显 请 


2 广播 ICVP 

与 ICMP 扫射 一 样 ,广播 ICMP 也 是 利用 了 ICMP 回 显 请 求 和 ICMP 回 显 应 答 这 两 
种 报 文 。 但 是 不 同 之 处 在 于 ,广播 ICMP 只 需要 向 目标 网 络 的 网 络 地 址 和 /或 广播 地 址 发 
送 一 两 个 回 显 请 求 ,就 能 够 收 到 目标 网 络 中 所 有 存活 主机 的 ICMP 回 显 应 答 。 因 此 这 样 
比 使 用 ICMP 回 显 请 求 去 轮 询 目标 网 络 中 的 主机 更 加 简便 。 然 而 这 种 技巧 的 一 个 限制 使 
得 它 并 不 像 看 上 去 那么 诱 人 。 那 就 是 只 有 UNIX 系统 的 主机 会 对 目标 地 址 为 网 络 地 址 
或 者 广播 地 址 的 ICMP 回 显 请 求 做 出 应 答 .而 Windows 系统 的 主机 会 将 其 忽略 。 

例如 ,在 网 络 192. 168. 1. 0/24 中 有 4 台 活 动 的 主机 ,其 中 192. 168. 1. 1 和 192. 168. 1. 2 
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运行 的 是 Linux 操作 系统 ,而 192. 168. 1. 3 和 192. 168. 1. 4 运行 的 是 Windows 操作 系 
统 。 那 么 如 果 在 192. 168. 1. 1 上 执行 目标 地 址 为 广播 地 址 的 ping 命令 , 则 会 得 到 下 面 的 
结果 : 

\ [root@ localhost root\]#ping 192.168.1.0-b 

WARNING: pinging broadcast address 

BEING 192.168.1.0 (192.168.1.0) fram 192.168.1.1 : 56(84) bytes of data. 

64 bytes fram 192.168.1.1: iamp seq=1 ttl=255 time= 0.362 ms 

的 bytes fram 192.168.1.2: iamp seq=2 ttl=255 time= 0.565 ms 

64 bytes from 192.168.1.1: iamp seq- 3 ttl= 255 time= 0.164 ms (dup!) 

64 bytes fram 192.168.1.2: iamp_secqF 4 ttl= 255 time= 0.246 ms (dup!) 


另外 ,如 果 在 一 个 数量 庞大 的 UNIX 主机 构成 的 网 络 上 采用 此 种 技巧 ,可 能 会 同时 
收 到 大 量 的 应 答 ,从 而 造成 扫描 者 的 DoS。 


3 非 回 显 ICMP 

如 果 目 标 主机 阻塞 了 ICMP 回 显 请 求 报 文 ,仍然 可 以 通过 使 用 其 他 类 型 的 ICMP 报 
文 探 测 目标 主机 是 否 存活 。 例 如 类 型 为 13 的 ICMP 报 文 (时 间 惟 请 求 ) 和 类 型 为 17 的 
ICMP 报 文 ( 地 址 掩 码 请 求 )。ICMP 时 间 戳 请 求 允 许 系统 向 另 一 个 系统 查询 当前 的 时 
间 。ICMP 地 址 掩 码 请 求 用 于 无 盘 系 统 引 导 过 程 中 获得 自己 的 子 网 掩 码 。 下 面 的 例子 使 
用 一 个 叫做 iempenum 的 工具 对 目标 进行 ICMP 时 间 截 请 求 探测 。 

\ [root@ localhost root\]# iampenum-i2-c 192.168.1.0 

192.168.1.1 is up 

192.168.1.2 is up 

192.168.1.3 is wp 

192.168.1.4 is up 


对 于 ICMP 地 址 掩 码 请 求 报 文 而 言 ,虽然 RFC1122 规定 ,除非 是 地 址 掩 码 的 授权 代 
理 ; 和 否则 一 个 系统 不 能 发 送 地 址 掩 码 应 答 ( 为 了 成 为 授权 代理 ,必须 进行 特殊 配置 ) 。 但 是 
大 多 数 主机 在 收 到 请 求 时 都 会 发 送 一 个 应 答 ,甚至 有 些 主机 还 会 发 送 差错 的 应 答 。 所 以 
也 可 以 使 用 类 型 为 17 的 ICMP 报 文 来 探测 主机 是 否 存活 。 


4 TCP 扫 射 

传输 控制 协议 (transmission control protocol，TCP) 为 应 用 层 提 供 一 种 面向 连接 的 、 
可 靠 的 字 节 流 服务 。 它 使 用 "3 次 握手 ”的 方式 建立 连接 。 和 ICMP 报 文 一 样 ,TCP 报 文 
也 封装 在 一 个 IP 数据 报 中 ,如 图 12-3 所 示 。TCP 的 正式 规范 参见 RFC793。 

从 建立 连接 的 过 程 可 以 知道 ,如 果 向 目标 发 送 一 个 SYN 报 文 , 则 无 论 是 收 到 一 个 
SYN/ACK 报 文 还 是 一 个 RST 报 文 , 都 表明 目标 处 于 存活 状态 。 这 就 是 TCP 扫描 的 基 
本 原理 。 与 此 类 似 ,也 可 以 向 目标 发 送 一 个 ACK 报 文 ,按照 RFC793 的 规定 ,如 果 目 标 
存活 , 则 会 收 到 一 个 RST 报 文 。 

TCP 扫射 看 起 来 比 利 用 ICMP 协议 进行 探测 更 加 有 有效, 事实 也 正 是 如 此 。 但 TCP 
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= IP 数据 报 -| 
一 TCP 分 节 -| 


IP 头 部 TCP 头 部 TCP 数据 
20 字 节 20~60 字 节 


图 12-3 TCP 报 文 封装 在 IP 数据 报 中 


扫射 也 不 是 百分之百 可 靠 , 因 为 有 的 防火 墙 能 够 伪造 RST 报 文 ,从 而 造成 防火 墙 后 的 某 
个 主机 存活 的 假象 。 


5 UDP 扫射 

用 户 数据 报 协议 (user datagram protocol,， UDP) 是 一 个 面向 数据 报 的 传输 层 协议 。 
UDP 数据 报 也 封装 在 IP 数据 报 之 中 ,如 图 12-4 所 示 。RFC768 是 UDP 协议 的 正式 
规范 。 


- IP 数 据 报 一 

-一 一 UDP 数据 报 一 一 一 一 二 

IP 头 六 | UDP 头 部 | UDP 数据 | 
20 字 节 8 字 节 


图 12-4 UDP 数据 报 封装 在 IP 数据 报 中 


UDP 协议 的 规则 之 一 是 如 果 接 收 到 一 份 目 的 端口 并 没有 处 于 侦 听 状态 的 数据 报 , 则 
发 送 一 个 ICMP 端口 不 可 到 达 报 文 ;否则 不 做 任何 响应 。 这 样 , 如 果 向 目标 的 特定 端口 发 
送 一 个 UDP 数据 报 之 后 ,接收 到 ICMP 端口 不 可 到 达 的 错误 , 则 表明 目标 处 于 存活 状 
态 ; 和 否则 表明 目标 不 在 线 或 者 目标 的 相应 UDP 端口 是 打开 的 。 由 于 UDP 和 ICMP 错误 
都 不 保证 能 到 达 , 因 此 在 一 个 数据 报 看 上 去 丢失 的 时 候 , 还 应 该 重新 发 送 新 的 UDP 数据 
报 以 确认 目标 没有 发 送 错误 消息 。 这 种 方法 很 不 可 靠 , 因 为 路 由 器 和 防火 墙 都 有 可 能 丢 
弃 UDP 数据 报 。 另 外 ,逐一 扫描 UDP 端口 通常 是 很 慢 的 ,因为 RFC1812 的 4. 3. 2. 8 节 
对 路 由 器 产生 ICMP 错误 消息 的 速率 做 了 规定 (Windows 系统 并 没有 遵守 RFC 的 规定 ， 
因此 对 Windows 系统 例外 )。 例 如 ,Linux 的 内 核 (在 net/ipv4/icemp. h 中 ) 限 制 产生 目的 
不 可 到 达 消 息 的 速率 是 每 4 秒 80 次 ,如 果 超 过 上 限 则 再 增加 1/4 秒 的 延迟 。Solaris 有 着 
更 严格 的 限制 (大 约 每 秒 两 次 就 会 延迟 ) ,所 以 这 要 耗费 相当 长 的 时 间 。UDP 扫描 也 有 一 
个 好 处 ,就 是 它 可 以 使 用 IP 广播 地 址 ,如 果 向 广播 地 址 的 高 端 端口 发 送 一 个 UDP 数据 
报 ,在 没有 防火 墙 过 滤 的 情况 下 ,将 收 到 很 多 来 自 目标 网 络 的 ICMP 端口 不 可 到 达 的 错误 
消息 。 当 然 , 这 也 可 能 造成 扫描 者 自己 的 DoS。 

表 12-1 对 上 面 5 种 发 现 目标 的 技巧 做 了 一 个 简单 的 比较 。 
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表 12-1 目标 发 现 阶 段 的 5 种 技巧 
名 称 方 法 优 点 缺 点 


速度 较 慢 
使 用 简单 如 果 目 标 关 闭 了 对 ICMP 回 显 请 
求 的 响应 ,就 不 能 被 发 现 


不 能 发 现 Windows 主机 
使 用 简单 ,速度 比 ICMP | 如 果 目 标 关闭 了 对 ICMP 回 显 请 
扫射 快 求 的 响应 ,就 不 能 被 发 现 
可 能 造成 扫描 者 的 DoS 


. 根据 RFC 的 规定 和 不 同 操作 系 
间 加 加 JCMP | 4 字 强 汪 人 | 不 受 日 标 阻止 ICMP 回 显 | 统 的 具体 实现 , 某 些 类 型 的 

, 请 求 的 影响 ICMP 请 求 在 探测 目标 时 会 受到 
主机 be 


使 用 ICMP 回 显 请 求 
轮 询 目 标 主 机 


ICMP 扫射 


发 送 ICMP 回 显 请 求 
广播 ICMP 到 目标 网 络 的 网 络 地 
址 或 广播 地 址 


发 送 TCP SYN 或 者 


和 对 入 侵 者 而 言 ,防火 墙 可 能 影响 
D oD 小 bs 小 
TCP 扫射 Ee ACK 到 目标 | 最 有 效 的 目标 发 现 方法 这 种 方法 的 可 靠 性 


不 受 目标 阻止 ICMP 回 显 


发 送 UDP 数据 报到 请 求 的 影响 可 靠 性 低 
UDP 扫射 2 类 似 广播 ICMP 可 以 发 送 Windows 的 目标 主机 , 速 


到 目标 网 络 广 播 地 址 


1222 抽取 信息 


广义 地 讲 , 在 入 侵 系 统 之 前 所 做 的 一 切 工作 都 可 以 称 为 信息 抽取 ,包括 踩点 、 扫 描 和 
查 点 。 因 为 这 些 工作 总 是 在 搜索 着 这 样 或 者 那样 的 信息 。 这 一 节 要 讲 的 主要 是 扫描 阶段 
信息 捍 取 的 技术 和 方法 。 

在 找 出 网 络 上 存活 的 系统 之 后 ,下 一 步 就 是 要 得 到 目标 主机 的 操作 系统 信息 和 开放 
的 服务 信息 。 用 到 的 技术 主要 有 端口 扫描 (port scanning)、 服 务 识别 和 操作 系统 探测 


(operating system detection ) 。 


1 端口 扫描 

端口 扫描 是 要 取得 目标 主机 开放 的 端口 和 服务 信息 ,从 而 为 下 一 步 的 “漏洞 检测 ”做 
准备 。 根 据 RFC1700 规定 的 已 分 配 端口 ,网 络 服务 和 端口 是 一 一 对 应 的 。 如 FTP 服务 
通常 开设 在 TCP 21 端口 ,TELNET 服务 通常 开设 在 TCP 23 端口 。 进 行 端口 扫描 ,可 以 
快速 获得 目标 主机 开设 的 服务 。 下 面 分 别 说 明 常 用 的 端口 扫描 类 型 。 

(1) TCP connect( ) 扫 描 

端口 扫描 最 基本 的 方法 就 是 TCP connect( ) 扫 描 。 它 利用 操作 系统 提供 的 
connect( ) 系 统 调用 ,与 每 一 个 感 兴趣 的 目标 计算 机 的 端口 进行 连接 。 如 果 目 标 端 口 处 
于 侦 听 状态 ,那么 connect( ) 就 能 成 功 ;否则 ,该 端口 是 不 能 用 的 , 即 没 有 提供 服务 。 这 种 
方法 具有 以 下 优点 : 

。 不 需要 任何 特殊 权限 ,系统 中 的 任何 用 户 都 有 权利 使 用 这 个 调用 ; 
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。 可 以 同时 打开 多 个 套 接 字 , 从 而 加 速 扫 描 , 使 用 非 阻塞 1/O 还 允许 设置 一 个 低 的 
时 间 用 尽 周期 ,同时 观察 多 个 套 接 字 。 

这 种 方法 对 于 入 侵 者 而 言 具有 明显 的 缺点 , 即 容 易 被 过 滤 或 记录 。 而 对 于 安全 管理 
员 而 言 ,使 用 这 种 方法 的 唯一 缺点 是 速度 较 慢 。 

(2) TCP SYN 扫描 

在 前 面 介绍 TCP 扫射 时 曾 解 释 了 建立 TCP 连接 的 “3 次 握手 ”过 程 。 当 时 只 是 说 
如 果 向 目标 特定 端口 发 送 一 个 SYN 报 文 ,只 要 接收 到 来 自 目 标的 响应 就 表明 目标 处 于 
存活 状态 。 但 可 以 很 容易 看 出 ,只 要 再 辨别 一 下 接收 到 的 响应 是 SYN/ACK 报 文 还 是 
RST 报 文 ,就 能 够 知道 目标 的 相应 端口 是 出 于 侦 听 状态 还 是 关闭 状态 。 这 就 是 TCP 
SYN 扫描 的 原理 。TCP SYN 扫描 又 叫 “ 半 开 扫 描 ”, 因 为 它 只 完成 了 3 次 握手 过 程 的 
一 半 。 

(3) TCP ACK 扫描 

TCP ACK 扫描 不 是 用 于 确定 目标 打开 了 哪些 端口 ,而 是 用 来 探测 防火 墙 的 规则 设 
计 。 可 以 确定 防火 墙 是 简单 的 包 过 滤 还 是 状态 检测 机 制 。 

(4) TCP FIN 扫描 

根据 RFC793 的 规定 ,如 果 处 于 侦 听 状态 的 端口 接收 到 一 个 FIN 报 文 , 则 不 做 任何 
回应 ;如 果 处 于 关闭 状态 的 端口 接收 到 一 个 FIN 报 文 , 则 响应 一 个 RST 报 文 。 据 此 ,可 
以 用 FIN 报 文 来 探测 目标 打开 了 哪些 端口 。 然 而 事实 上 有 一 些 操作 系统 (特别 是 
Windows 系统 ) ,无 论 端口 是 打开 还 是 关闭 都 会 响应 一 个 RST 报 文 ,所 以 FIN 扫描 通常 
只 工作 在 基于 UNIX 的 TCP/IP 协议 栈 上 。 

(5) TCP XMAS 扫描 
向 目标 发 送 一 个 URG/PSH/FIN 报 文 ,根据 RFC793 的 规定 ,如 果 目 标 相应 端口 打 
开 , 则 不 会 收 到 来 自 目 标的 任何 回应 ;和 否则 会 收 到 一 个 RST 报 文 。 

(6) TCP 空 扫描 
向 目标 发 送 一 个 所 有 标记 位 都 置 0 的 报 文 ,根据 RFC793 的 规定 ,如 果 目 标 相 应 端口 
打开 , 则 不 会 收 到 来 自 目标 的 任何 回应 ;否则 会 收 到 一 个 RST 报 文 。 

(7) FTP 反弹 扫描 

FTP 协议 的 一 个 特点 是 它 支持 代理 FTP 连接 。 即 入 侵 者 可 以 将 自己 的 计算 机 和 目 
标 主 机 的 FTP 服务 器 建立 一 个 控制 通信 连接 。 然 后 ,请 求 这 个 服务 器 激活 一 个 有 效 的 数 
据 传输 进程 来 给 Internet 上 的 任何 地 方 发 送 文件 。 尽 管 RFC 明确 地 定义 请 求 一 个 服务 
器 发 送 文 件 到 另 一 个 服务 器 是 可 以 的 ,但 现在 很 多 FTP 服务 器 都 不 支持 这 一 功能 了 ,或 
者 允许 用 户 禁 止 此 项 功能 。 因 为 利用 这 一 功能 可 以 通过 FTP 服务 器 对 其 他 主机 进行 端 
口 扫描 ,即使 这 些 主机 对 入 侵 者 而 言 是 在 防火 墙 后 面 。 

下 面 是 使 用 这 一 技术 进行 端口 扫描 的 一 个 例子 。 入 侵 者 首先 连接 到 192. 168. 1.1 的 
FTP 服务 器 上 ,然后 使 用 PORT 命令 来 表示 被 动 的 用 户 数据 传输 进程 正在 目标 计算 机 上 
的 某 个 端口 侦 听 ,接着 人 侵 者 试图 用 LIST 命令 列 出 当前 目录 ,其 结果 通过 服务 器 数据 传 
输 进程 发 送出 去 。 如 果 目 标 主 机 正在 某 个 端口 侦 听 ,传输 就 会 成 功 ;否则 会 出 现 拒绝 连接 
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的 错误 。 在 例子 中 ,目标 计算 机 (192. 168.1. 3) 的 21 端口 是 打开 的 ,而 22 端口 是 关闭 的 。 
这 种 方法 的 优点 是 难以 跟踪 ,能 穿 过 防火 墙 。 主 要 缺点 是 速度 很 慢 , 另 外 有 的 FTP 服务 
会 关闭 代理 功能 。 


220-ServrU FTP Server ready... 

USER anonymous 

331 User name okay,need password. 

PASS guest@ unlmown.ccm 

230 User logged in,prooeed. 

PORT 192,168,1,3,0,21 

200 FORT Command successful . 

LIST 

150 Opening RSCTI mode data connection for /bin/1s. 
226 Transfer orplete. 

PORT 192,168,1,3,0,2 

200 FORT Command successful . 

LIST 

150 Opening ASCIT mode data oonnection for /bin/1s. 
426 Data connection closed, transfer aborted. 


(8) UDP 扫描 


UDP 扫描 和 前 面 的 UDP 扫射 的 原理 完全 一 样 。 在 这 里 只 是 强调 它 的 另 一 个 作用 ， 
即 发 现 目标 打开 的 UDP 端口 。 


2 服务 识别 

前 面 提 到 ,端口 扫描 的 主要 目的 是 为 了 获得 目标 主机 提供 的 服务 ,而 通常 获取 服务 类 
型 的 办 法 是 根据 RFC1700 直接 推断 。 但 是 下 面 几 种 情况 可 能 会 使 这 项 工作 变 得 稍微 有 
些 麻烦 ， 

。 该 主机 将 某 服务 故意 开设 到 了 非 标准 端口 ; 

。 该 主机 开设 了 一 个 RFC1700 中 未 定义 的 服务 ; 

。 该 主机 被 安置 了 后 门 程序 。 

所 以 有 时 候 仅 凭 端口 号 来 判断 服务 类 型 还 是 不 够 的 ,可 能 需要 更 多 的 信息 。 下 面 有 
一 个 最 简单 的 例子 ,扫描 发 现 目 标 主机 192. 168. 1. 1 的 12345 号 TCP 端口 是 打开 的 ,在 
RFC1700 中 没有 定义 此 端口 对 应 的 服务 ,首先 可 以 使 用 Netcat 尝试 与 目标 的 该 端口 建立 
连接 ,根据 返回 的 信息 做 出 初步 判断 ,在 此 例 中 很 容易 地 知道 对 方 运行 的 服务 是 IIS 的 
FTP 服务 。 

C:\\>nc 192.168.1.1 12345 

220 Microsoft FTP Service 

像 上 面 例子 中 那样 主动 提供 旗 标 信息 或 者 握手 信息 的 服务 不 妨 将 其 称 为 主动 式 服务 
器 。 另 外 还 有 一 类 服务 需要 客户 端 首先 发 送 一 个 命令 ,然后 再 做 出 响应 。 要 判断 这 样 的 
服务 ,必须 首先 猜测 服务 类 型 ,然后 模仿 客户 端 发 送 命令 ,等待 服 务 器 的 回应 。 下 面 便 是 
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一 个 这 样 的 例子 。 当 然 , 这 一 次 我 们 非常 幸运 ,第 一 次 就 猜 中 了 对 方 运行 的 是 IIS 5. 1 的 


WWW 服务 。 


C:\\>nc 192.168.1.1 12346 

HEAD/HITP/1.0 

HTTP/1.1 200 CK 

Server: Microsoft- IIS/5.1 

Content Location: http: //192.168.1.1: 12346/index.htm 
Date: Fri,02 May 2003 11:56:03 QAT 
Content- Type: text/html 

RPRccepE Ranges: bytes 

Iast-Modified: Wed,08 Jan 2003 09:02:34 GMT 
ETag:"30ba3caff4b6c21:86c" 

Content Length: 516 


这 样 , 如 果 要 让 一 个 工具 能 够 判断 任意 端口 的 任意 服务 类 型 ,或 者 至 少 能 够 判断 任 
意 端 口 的 常见 服务 类 型 ,实现 的 方法 之 一 就 是 建立 服务 特征 数据 库 , 服 务 特征 包括 服 
务 器 软件 旗 标 信息 .服务器 软件 握手 信息 、 服 务 器 软件 对 特定 命令 的 回应 等 。 检 测 服 
务 的 过 程 实际 上 就 是 模仿 客户 端 软件 与 服务 器 软件 建立 连接 并 通信 。 由 于 服务 器 软 
件 都 具有 唯一 的 特征 供 客户 端 软件 进行 识别 ,所 以 识别 任意 一 种 服务 的 通常 步骤 应 该 


如 图 12-5 所 示 。 

只 要 数据 库 中 含有 相应 服务 器 软件 的 资料 ,并 且 
能 保证 该 资料 是 服务 器 软件 的 唯一 特性 ,那么 识别 任 
意 端口 的 已 知 服务 都 是 可 以 实现 的 。 


3 操作 系统 探测 

由 于 许多 漏洞 是 和 操作 系统 紧密 相关 的 ,因此 , 确 
定 操作 系统 类 型 对 于 脆弱 性 评估 工具 而 言 也 十 分 重 
要 。 目 前 用 于 探测 操作 系统 的 方法 主要 可 以 分 为 两 
类 : 利用 系统 旗 标 信息 和 利用 TCP/IP 堆栈 指纹 。 而 
后 者 又 有 多 种 不 同 的 实现 方法 。 

利用 系统 旗 标 信息 是 最 原始 的 探测 方法 。 然 而 它 
至 今 仍然 被 包括 ISS 在 内 的 许多 网 络 安全 扫描 工具 使 
用 ,因为 在 大 多 数 情 况 下 ,操作 系统 的 多 种 服务 都 会 暴 
露 其 “身份 ”, 例 如 Telnet, WWW,FTP 和 SMTP 等 。 
同时 ,这 种 方法 实现 起 来 也 特别 简单 。 但 是 在 很 多 情 
况 下 ,管理 员 出 于 安全 考虑 都 会 修改 或 者 关闭 旗 标 信 


开始 


1 


建立 连接 


了 


1 模仿 客户 中 
由 发 出 命令 

I 

或 握手 信息 接收 回应 
1 

考 找 /比较 数据 库 
给 出 结果 
图 12-5 识别 服务 类 型 


息 ,或 者 目标 机 器 并 不 提供 有 旗 标 信息 的 服务 ,在 这 样 的 情况 下 ,这 种 方法 就 不 能 发 挥 作 


用 了 。 


利用 TCP/IP 堆栈 指纹 识别 操作 系统 是 近年 来 发 展 迅速 的 一 类 技术 。 这 类 技术 的 出 
现 主要 基于 以 下 几 个 原因 : 每 个 操作 系统 通常 都 使 用 自己 的 IP 栈 实现 ;TCP/IP 规范 并 
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不 是 被 严格 地 执行 ,每 个 不 同 的 实现 将 会 拥有 自己 的 特点 ;规范 中 一 些 选择 性 的 特性 可 能 
在 某 些 系统 中 使 用 ,而 在 其 他 系统 中 则 没有 使 用 ; 某 些 系统 私自 对 IP 协议 做 了 改进 。 

目前 主要 的 网 络 堆栈 特征 探测 技术 有 如 下 几 种 : ICMP 响应 分 析 、TCP 报 文 响应 分 
析 、TCP 报 文 延 时 分 析 和 被 动 特征 探测 。 

(1) ICMP 响应 分 析 

这 种 方法 向 目标 发 送 UDP 或 者 ICMP 报 文 ,然后 分 析 目 标 响 应 的 ICMP 报 文 的 内 
容 , 根 据 不 同 的 响应 特征 来 判断 操作 系统 。 前 面 已 经 介绍 过 ,ICMP 数据 报 是 封装 在 IP 
数据 报 之 内 的 ,而 且 这 种 判断 操作 系统 的 方法 也 利用 了 IP 头 部 的 字段 内 容 ,所 以 在 具体 
说 明 这 种 方法 使 用 的 技术 之 前 ,有 必要 先 熟 悉 一 下 IP 数据 报 的 头 部 。 其 中 需要 注意 的 是 
服务 级 别 TOS ,总 长 度 .标识 .DF 位 .生存 期 TTL 和 校 验 和 字段 。 

下 面 分 别 说 明 ICMP 响应 分 析 方 法 使 用 的 具体 技术 。 

Q@ ICMP 差错 报 文 引用 大 小 。ICMP 的 规则 之 一 是 ICMP 差错 报 文 必须 包括 生成 该 
差错 报 文 的 数据 报 IP 头 部 (包含 任何 选项 ) ,还 必须 至 少 包括 跟 在 该 IP 头 部 后 面 的 前 8 
个 字 节 。 图 12-6 显示 了 由 UDP 数据 报 引 起 的 ICMP 端口 不 可 到 达 差 错 报 文 。 


上 IP 数 据 报 -| 
一 一 一 一 一 evP 美 锁 广 
一 一 一 cMP 报 文 的 数据 部 分 
以 大 由头 部 | Ip 头 部 cwP 头 部 | 产生 关 钳 数据 报 让 类 部 |UDP 头 部 | ( 划 寺 ) 
14 字 节 20 字 节 8 字 节 20 字 池 8 字 节 


图 12-6 “UDP 端口 不 可 到 达 ” 差 错 报 文 


导致 差错 的 数据 报 中 的 IP 头 部 要 被 送 回 的 原因 是 IP 头 部 中 包含 了 协议 字段 ,使 得 
ICMP 可 以 知道 如 何 解 释 后 面 的 8 个 字 节 (在 图 12-6 中 是 UDP 头 部 ) 。 

大 多 数 操作 系统 都 只 返回 产生 差错 的 数据 报 的 卫 头 部 后 的 前 8 个 字 节 , 然 而 有 一 些 操 
作 系 统 在 这 8 个 字 节 之 后 还 返回 更 多 的 字 节 (这 些 字 节 通常 是 没有 任何 意义 的 ) 。 这 样 的 系 
统 包括 Linux( 内 核 2. 0. x/2. 2. x/2. 4. x) ,SUN Solaris`\HPUX 11. x、MacOS 7. 55/8. x/9. 04、 
Nokia 系统 .Foundry 交换 机 和 其 他 一 些 操作 系统 或 者 网 络 设备 。 

@ ICMP 差错 报 文 回 显 完 整 性 。 

一 般 而 言 ,在 发 送 ICMP 差错 报 文 时 ,差错 报 文 的 数据 部 分 ,只 有 产生 差错 的 数据 报 
IP 头 部 的 TTL 字段 和 IP 头 部 校 验 和 字段 会 与 初始 报 文 不 同 , 因 为 初始 报 文 到 达 目 标 之 
前 会 经 过 一 系列 的 路 由 设备 ,而 每 经 过 一 个 设备 TTL 都 会 减 一 ,相应 的 校 验 和 也 要 重新 
计算 。 然 而 实际 情况 是 ,有 些 操作 系统 会 改变 产生 差错 的 数据 报 IP 头 部 的 其 他 字段 的 内 
容 和 /或 后 面 数 据 的 内 容 。 如 果 用 UDP 数据 报 产 生 的 端口 不 可 到 达 差 错 报 文 来 进行 分 
析 , 可 以 利用 的 特点 包括 下 面 一 些 内 容 : 

。 IP 数据 报 总 长 度 AIX 4. x 和 BSDI 4. 1 等 操作 系统 的 IP 栈 会 将 产生 差错 的 数据 

报 了 P 头 部 的 总 长 度 字 段 加 上 20 ,而 另 一 些 系 统 会 将 这 个 字段 的 数值 减少 20, 更 
多 的 系统 会 保持 这 个 字段 的 内 容 不 变 。 
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。 IP 数据 报 标识 (IPID)。 

FreeBSD 4.0,OpenVMSs 和 ULTRIX 等 系统 的 IP 栈 不 能 正确 回 显 产生 差错 数据 
报 的 IPID, 它 们 回 显 的 IPID 的 位 顺序 和 初始 顺序 不 同 。 其 他 更 多 的 系统 则 能 够 正确 回 
显 IPID 字段 。 

。 分 段 标志 (3 位 ) 和 片 偏 移 。 

有 一 些 系统 会 改变 产生 差错 的 数据 报头 部 中 3 位 分 段 标志 和 片 偏 移 字段 的 位 顺序 ， 
而 另 一 些 系统 只 能 正确 回 显 。 

。 IP 头 部 校 验 和 。 

FreeBSD 4.0,OpenVMSs 和 ULTRIX 等 系统 会 将 产生 差错 的 数据 报 IP 头 部 的 校 
验 和 字段 置 为 0, 而 大 多 数 的 系统 只 是 将 重新 计算 的 校 验 和 回 显 。 

。 UDP 头 部 校 验 和 。 

FreeBSD 4. 0/4. 11, Compaq Tru64, DG-UX 5. 6, AIX 4. 3/4. 2. 1, ULTRIX 和 
OpenVMS 等 系统 会 将 差错 报 文中 的 UDP 头 01234567 
部 的 校 验 和 字段 置 为 0。 另 外 的 一 些 系 统 则 ”优先 权 TOSMBZ 


会 保持 UDP 校 验 和 不 变 。 0 -1 训 人 
@ ICMP 差错 报 文 的 “优先 权 ”" 字 段 。IP 优先 权 ToS MBZ 
头 部 中 有 一 个 8 位 的 TOS 字段 ,TOS 字段 包 图 12.7 TIP 头 部 的 TOS 字 自 


括 一 个 3 位 的 优先 权 字段 .4 位 的 TOS 子 字 
段 和 一 位 必须 置 0 的 未 用 位 ,如 图 12-7 所 示 。 表 12-2 列 出 了 优先 权 字段 的 定义 。 


表 12-2 优先 权 字段 值 


优先 权 定 义 优先 权 定 义 
0 Routine (Normal) 4 Flash Override 
1 Priority 5 Critical 
2 Immediate 6 Internetwork Control 
3 Flash 7 Network Control 


RFC1812 对 IPv4 的 路 由 设备 做 了 规定 ,其 中 涉及 对 优先 权 字 有 段 的 规定 : ICMP* 源 端 
被 关闭 "(类 型 4) 差 错 报 文 必须 将 自己 的 优先 权 设 置 成 和 造成 这 一 差错 的 报 文 的 优先 权 
一 致 。 所 有 其 他 ICMP 差错 报 文 (目的 不 可 到 达 、 重 定向 、 超 时 ,参数 问题 ) 应 该 将 它们 的 
优先 权 设置 为 6 或 者 7。 这 些 差错 报 文 的 IP 优先 权 值 是 可 设置 的 。 

Arkin 的 研究 发 现 ,除了 Linux, 其 他 所 有 操作 系统 都 将 0 作为 ICMP 差错 报 文 的 优 
先 权 值 ,而 Linux 使 用 6 作为 ICMP 差错 报 文 的 优先 权 值 (即使 用 0xCo 作为 IP 头 部 
TOS 字 节 的 值 )。 

@ ICMP 差错 报 文 IP 头 部 的 不 分 片 (DF) 位 。 

有 一 些 操作 系统 在 发 送 ICMP 差错 报 文 时 ,会 根据 引起 差错 的 数据 报 的 IP 头 部 的 
DF 位 来 设置 差错 报 文本 身 IP 头 部 的 DF 位 。Linux, ULTRIX,Novell Netware, HPUX， 
Windows 98/98SE/ME,Windows NT4 Server SP6 和 Windows 2000 Family 等 系统 则 不 
会 这 么 做 。 
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@ ICMP 报 文 IP 头 部 的 TTL 字段。 

不 同 的 操作 系统 在 设置 ICMP 报 文 IP 头 部 的 TTL 字段 时 有 不 同 的 默认 值 。 而 且 一 
般 来 讲 ,ICMP 应 答 报 文 和 ICMP 查询 报 文 的 TTL 还 不 一 样 。 例 如 , Windows 95 应 答 报 
文 和 查询 报 文 的 TTL 都 是 32;Windows 98/98SE/ME/NT4 应 答 报 文 的 TTL 是 128、 查 
询 报 文 的 TTL 是 32;Windows 2000 应 答 报 文 和 查询 报 文 的 TTL 都 是 128。 

@ 使 用 代码 字段 不 为 0 的 ICMP 回 显 请 求 。 

ICMP 报 文 的 种 类 由 第 一 个 字 节 ( 类 型 字段 ) 和 第 二 个 字 节 (代码 字段 ) 决 定 。 回 显 请 
求 的 类 型 字段 为 8, 默认 的 代码 字段 为 0。 如 果 把 回 显 请 求 的 代码 字段 设置 为 非 0 值 , 这 
样 的 回 显 请 求 就 不 是 标准 的 ICMP 报 文 了 。 对 于 这 样 的 回 显 请 求 报 文 , Windows 操作 系 
统 做 出 的 回 显 应 答 ( 类 型 为 0) 的 代码 字段 值 为 0, 而 其 他 系统 和 网 络 设备 做 出 的 回 显 应 答 
的 代码 字段 值 和 它 收 到 的 回 显 请 求 中 的 代码 字段 值 相 同 。 

@ TOS 子 字段 回 显 。 

RFC1349 定义 了 ICMP 报 文 使 用 TOS 子 字段 的 方法 。 其 中 区 分 了 差错 报 文 .查询 
报 文 和 应 答 报 文 的 不 同 使 用 方法 ,规则 是 : 差错 报 文 总 是 使 用 默认 值 0; 查 询 报 文 可 以 在 
TOS 子 字段 中 使 用 任何 值 ;应 答 报 文 应 该 在 TOS 子 字 段 中 使 用 造成 应 答 的 查询 报 文中 
使 用 的 TOS 值 。 然 而 有 些 操作 系统 (如 Linux) 在 发 送 回 显 应 答 报 文 时 忽视 了 这 项 规定 ， 
无 论 查 询 报 文 使 用 何 种 TOS 值 , 它 的 应 答 报 文 的 TOS 值 都 是 一 样 的 。 

(2) TCP 报 文 响应 分 析 

这 种 技术 通过 区 分 不 同 操作 系统 对 特定 TCP 报 文 (标准 或 非 标 准 ) 的 不 同 反应 ,实现 
对 操作 系统 的 区 分 。 使 用 这 种 技术 的 代表 有 Queso 和 Nmap(Nmap 其 实 也 使 用 了 一 些 
ICMP 响应 分 析 的 技巧 )。 下 面 将 分 别 说 明 Nmap 使 用 的 操作 系统 探测 技巧 。 

Q@ FIN 探测。 前 面 讲 端 口 扫 描 的 技巧 时 曾 提 到 ,“FIN 扫描 通常 只 工作 在 基于 
UNIX 的 TCP/IP 协议 栈 上 ”, 这 就 可 以 用 来 作为 一 个 探测 操作 系统 的 判断 依据 。 

@ 伪 标 记 位 探测 。TCP 报 文 的 头 部 有 8 个 标记 位 。 使 用 * 伪 标记 位 (BOGUS 
Flag), 即 把 SYN 报 文 的 CWR 标记 位 的 左边 一 位 置 1, 然 后 将 这 样 的 非 标准 SYN 报 文 发 
给 目标 TCP 端口 。 低 于 2. 0. 35 版 本 的 Linux 内 核 会 在 回应 包 中 保持 这 个 标记 ,而 其 他 
操作 系统 似乎 都 没有 这 个 问题 。 不 过 有 的 操作 系统 在 收 到 这 样 的 SYN/BOGUS 报 文 时 
会 发 送 一 个 RST 复位 连接 。 

@ TCP ISN 取样 。 

其 原理 是 在 操作 系统 对 连接 请 求 的 回应 中 寻找 TCP 连接 初始 化 序列 号 (ISN) 的 特 
征 。 目 前 可 以 区 分 的 类 别 有 传 统 的 64000 方式 ( 旧 UNIX 系统 使 用 ) 、 随 机 增加 方式 (新 
版 本 的 Solaris、IRIX、FreeBSD、Digital UNIX、Cray 和 其 他 许多 系统 使 用 ) 、 真 “随机 ” 方 
式 (Linux 2. 0. * 及 更 高 版 本 、OpenVMS 和 新 版 本 的 AIX 等 操作 系统 使 用 ) 等 。 
Windows 平台 (还 有 其 他 一 些 平台 ) 使 用 “基于 时 间 ” 方 式 产生 的 ISN 会 随 着 时 间 的 变化 
而 呈 相 对 固定 的 增长 。 另 外 还 有 一 些 系统 总 是 使 用 固定 的 ISN, 如 某 些 3Com 集线器 (使 
用 0x83) 和 Apple LaserWriter 打印 机 (使 用 0xC7001) 。 根 据 计 算 ISN 的 变化 、 最 大 公约 
数 和 其 他 一 些 有 迹 可 循 的 规律 ,还 可 以 将 这 些 类 别 分 得 更 细 、 更 准确 。 

@ DF 位 监视 。 

许多 操作 系统 逐渐 开始 在 它们 发 送 的 全 数据 报 中 设置 DF 位 ,从 而 有 益 于 提高 传输 性 

244 


me 第 12 章 漏洞 反 挝 mw 


能 。 但 并 不 是 所 有 操作 系统 都 进行 这 种 设置 ,或 者 有 的 系统 只 是 在 某 些 情况 下 使 用 这 种 设 
置 。 因 此 通过 留意 这 个 标记 位 的 设置 可 以 搜集 到 关于 目标 主机 操作 系统 的 更 多 有 用 信息 。 

@ TCP 初始 化 窗口 大 小 。 

这 种 技巧 就 是 得 到 目标 的 初始 化 TCP 窗口 大 小 。 有 的 操作 系统 总 是 使 用 比较 特殊 
的 值 。 例 如 AIX 是 唯一 使 用 0x3F25 窗口 值 的 操作 系统 。 而 在 OpenBSD、FreeBSD 和 
Windows 2000/XP 的 TCP 堆栈 中 ,使 用 的 窗口 值 总 是 0x402E。 

@ ACK 值 。 

不 同 协议 栈 实 现在 TCP 报 文 的 ACK 值 的 选择 上 也 存在 差异 。 例 如 ,假设 向 一 个 关 
闭 的 TCP 端口 发 送 一 个 FIN/PSH/URG 报 文 ,许多 操作 系统 会 将 ACK 值 设置 为 ISN 
值 ,但 Windows 和 某 些 打印 机 会 设置 为 接收 到 的 报 文 的 SEQ 十 1。 如 果 向 打开 的 端口 发 
送 SYN/FIN/URG/PSH 报 文 ,Windows 的 返回 值 就 会 非常 不 确定 ,有 时 是 接收 到 的 报 
文 的 SEQ 值 , 有 时 是 SEQ 十 十 ,而 有 时 回 送 的 是 一 个 似乎 很 随机 的 数值 。 

@ 片段 处 理 。 

不 同 操作 系统 在 处 理 IP 片段 重 和 到 时 采用 了 不 同 的 方式 。 有 些 用 新 的 内 容 覆 盖 旧 的 
内 容 , 有 些 是 以 旧 的 内 容 为 优先 。 有 很 多 探测 方法 能 确定 这 些 包 是 如 何 重组 的 ,从 而 能 帮 


助 确定 操作 系统 类 型 。 
@ TCP 选项 。 这 是 搜集 信息 的 最 有 效 方法 之 一 。 其 基于 以 下 原因 ， 
它们 通常 是 “可 选 的 ”, 因 此 并 不 是 所 有 的 操作 。 ee 
系统 都 使 用 它们 。 se 
。 向 目标 主机 发 送 带 有 可 选项 标记 的 数据 包 时 ， | 
如 果 操 作 系统 支持 这 些 选项 ,会 在 返回 包 中 也 S| 
设置 这 些 标记 。 所 | -一 SA 
。 可 以 一 次 在 数据 包 中 设置 多 个 可 选项 ,从 而 增 
加 了 探测 的 准确 度 。 上 轩 一 
(3) TCP 报 文 延 时 分 析 本 
这 是 利用 了 TCP 报 文 重 传 的 特性 。 这 种 方法 的 全 
具体 实现 是 在 "3 次 握手 "的 过 程 中 放弃 对 远程 主机 “| | | swwack 一 | 


SYN/ACK 报 文 的 确认 ,迫使 其 重 传 ,通过 测量 重 传 
TCP 报 文 之 间 的 延 时 序列 ,获取 远程 操作 系统 指纹 。 图 12-8 忽略 SYN/ACK 报 文 
图 12-8 说 明了 延 时 序列 的 意义 。 采 用 这 种 方法 的 代 妃 使 服务 器重 传 
表 是 RING。 这 种 技术 的 最 大 优势 就 是 它 只 需要 一 个 
打开 的 端口 。 如 果 目 标 主机 是 被 防火 墙 所 保护 的 ,那么 很 可 能 只 开 了 一 个 端口 ,其 他 端口 
则 是 被 过 滤 了 的 。 而 且 这 种 技术 是 使 用 了 一 个 标准 的 TCP 数据 报 , 它 将 不 会 对 目标 主机 
造成 任何 的 不 利 影响 。 但 是 这 种 探测 方式 需要 花 比 nmap 或 Xprobe 更 多 的 时 间 ,这 是 测 
量 连续 数据 报时 间 延 迟 的 一 个 固有 缺点 。 

下 面 的 例子 是 使 用 RING 探测 操作 系统 类 型 。 


\ [rocte localhost ring\]# ./ring d 192.168.1.128-s 192.168.1.12p 111 i eth0 
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3558202 6000667 11999952 24200335 

QOS:Linux2.4 

distance:1036218 

(4) 被 动 协议 栈 指纹 探测 

被 动 的 协议 栈 指纹 探测 和 主动 的 协议 栈 指 纹 探测 很 相似 ,不 同 之 处 在 于 这 种 方法 不 
主动 向 目标 系统 发 送 分 组 ,而 是 通过 嗅 探 目标 网 络 的 通信 , 抓 取 从 远程 主机 上 发 送 的 数据 
报 , 获 取 包 括 TTL、 窗 口 大 小 .DF 位 和 服务 类 型 等 在 内 的 数据 报 属性 ,构成 目标 系统 的 指 
纹 。 这 种 方法 主要 被 入 侵 者 使 用 ,因为 它 不 容易 被 发 现 。 

表 12-3 比较 了 上 述 5 种 操作 系统 探测 方法 的 优 缺 点 。 


表 12-3 操作 系统 探测 方法 比较 


方 法 优点 缺点 
利用 系统 和 服务 不 大 可 靠 \ 有 的 情况 下 无 法 获得 Banner 信 
的 Banner 简单 .快速 有效 息 , 有 时 可 能 被 Banner 信息 欺骗 
ICMP 响应 Wm 防火 墙 阻塞 UDP 或 ICMP 等 协议 时 不 太 
Jj | 分 析 和 网 全 克 可 千 
动 = 下 病 吕 个 
得 | TCP 报 文 响 | 四 风 克 红牛 | 在 有 防火 坟 阻 指 的 情况 下 ,可 能 只 有 一 个 
全 | 应 分 析 人 开放 的 TCP 端口 ,这 时 准确 性 大 大 降低 
测 上 Te 
TCP 报 文生 | 人 . | 
ee 只 需要 一 个 打开 的 TCP 端口 。 | 速度 慢 
被 动 特征 探测 不 易 被 发 现 , 主 要 被 入 侵 者 使 用 | 分 析 数据 更 加 复杂 


1223 漏洞 检测 


经 过 发 现 目标 和 摆 取 信息 两 个 步骤 以 后 ,已 经 能 够 得 到 下 面 一 些 信息 : 目标 网 络 上 
有 哪些 主机 处 于 存活 状态 ?这 些 主机 上 都 运行 什么 系统 ? 这 些 主机 运行 了 哪些 网 络 服 
务 ? 而 漏洞 检测 就 是 要 回答 最 关键 的 一 个 问题 一 一 这 些 主 机 存在 哪些 漏洞 ? 

根据 漏洞 的 属性 和 利用 方法 ,漏洞 检测 所 要 寻找 的 漏洞 主要 包括 以 下 几 个 类 别 : 

"操作 系统 漏洞 。 

。， 应 用 服务 漏洞 。 

"。 配置 漏洞 。 

操作 系统 漏洞 主要 指 操作 系统 本 身 由 于 实现 中 的 问题 而 造成 的 漏洞 。 该 类 漏洞 主要 
集中 在 系统 网 络 协议 栈 的 实现 部 分 。 由 于 涉及 系统 底层 ,往往 很 难 弥补 并 容易 造成 重大 
影响 。 如 著名 的 teardrop 攻击 利用 的 漏洞 就 是 系统 网 络 协议 栈 在 处 理 IP 包 分 片 时 候 的 
错误 。 冲 击 波 病毒 也 是 利用 的 Windows 系统 rpc 处 理 的 漏洞 。 这 种 攻击 往往 可 以 造成 
整个 操作 系统 的 崩溃 ,不 过 由 于 操作 系统 往往 比较 成 熟 并 经 历 了 大 量 的 测试 ,因此 这 种 类 
型 的 漏洞 相对 较 少 , 且 使 用 这 些 漏洞 所 需 的 技术 含量 较 高 。 

应 用 服务 漏洞 指 各 种 应 用 服务 在 处 理 服务 请 求 时 存在 的 安全 漏洞 。 相 对 于 操作 系统 
来 说 ,应 用 服务 由 于 种 类 繁多 且 具 体 的 实现 没有 如 操作 系统 那样 经 过 广泛 测试 ,往往 存在 
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很 多 的 问题 。 如 对 输入 判断 不 够 完全 、 开 发 中 没有 考虑 安全 防护 .安全 旁 路 等 。 目 前 的 大 
部 分 漏洞 检测 行为 主要 针对 这 类 应 用 服务 漏洞 。 

配置 漏洞 指 在 对 应 用 服务 配置 的 过 程 中 ,由 于 忽略 了 安全 要 求 而 带 来 的 安全 漏洞 。 
这 些 漏洞 包括 开放 了 不 应 公开 的 信息 、 安 全 保护 薄弱 化 、 安 全 旁 路 化 等 。 其 中 比较 典型 的 
漏洞 就 是 安全 认证 漏洞 。 漏 洞 检测 一 个 很 重要 的 部 分 就 是 扫描 应 用 服务 ,通过 字典 猜测 
等 方式 ,获取 正确 的 用 户 登 录 密 码 , 从 而 人 侵 系统 。 

漏洞 检测 的 方法 主要 分 为 3 种 : 直接 测试 (test)、 推 断 (inference) 和 带 凭证 的 测试 


(test with credentials) 。 


1 直接 测试 

直接 测试 是 指 利用 漏洞 特点 发 现 系统 漏洞 的 方法 。 要 找 出 系统 中 的 常见 漏洞 ,最 显 
而 易 见 的 方法 就 是 试图 渗透 漏洞 。 渗 透 测试 是 指使 用 针对 漏洞 特点 设计 的 脚本 或 者 程序 
检测 漏洞 。 测 试 代码 通常 和 渗透 攻击 代码 类 似 , 不 同 的 是 测试 代码 返回 与 风险 等 级 ”对 
应 的 提示 ,而 渗透 攻击 代码 则 直接 向 人 侵 者 返回 具有 超级 权限 的 执行 环境 。 另 外 也 有 一 
些 渗透 攻击 不 返回 任何 东西 ,只 是 让 系统 处 于 易 被 攻击 的 状态 ,用 户 必 须 另 外 采取 动作 来 
判断 是 否 有 漏洞 被 渗透 了 。 根 据 这 一 点 ,测试 方法 可 以 分 为 两 种 不 同 的 类 型 : 可 以 直接 
观察 到 的 测试 和 只 能 间接 观察 到 的 测试 。 下 面 通过 一 个 例子 具体 说 明 直 接 测试 漏洞 的 
方法 。 

IIS 5.0 具有 一 个 Unicode 解码 漏洞 ,该 漏洞 的 CVE 名 字 为 CVE-2000-0884。 该 漏 
洞 允 许 使 用 扩展 Unicode 代码 取代 “\\”* 和 “*/” 字 符 , 从 而 利用 *../” 遍 历 目录 ,这 样 用 户 可 
以 通过 构造 特殊 的 URL 远程 执行 系统 上 的 任意 命令 。 对 于 IIS 而 言 , 未 经 授权 的 用 户 可 
能 利用 IUSR_machinename 账号 的 上 下 文 空间 访问 任何 已 知 的 文件 。 该 账号 在 默认 情 
况 下 属于 Everyone 和 Users 组 的 成 员 , 因 此 任何 与 Web 根 目录 在 同一 逻辑 驱动 器 上 的 、 
能 被 这 些 用 户 组 访问 的 文件 都 能 被 删除 ,修改 或 执行 ,就 如 同一 个 用 户 成 功 登录 所 能 完成 
的 一 样 。 没 有 安装 SP3 的 Windows 2000 系统 都 存在 这 个 漏洞 ,当然 ,前 提 是 它 同 时 也 正 
在 提供 IIS 的 WWW 服务 。 

如 果 已 知 某 主机 正在 提供 WWW 服务 ,为 了 检测 该 主机 是 否 存 在 上 述 漏洞 ,可 以 直 
接 利 用 渗透 代码 进行 测试 。 这 个 漏洞 的 渗透 代码 也 很 简单 : 


http: //target/scripts/..% cl% 1c../path/file.ext 
于 是 可 以 使 用 Web 浏览 器 直接 向 目标 主机 发 送 一 个 请 求 : 
http: //target/scripts/..% cl% 1c../winnt/system32/ard.exe? /ct dirt c: \\ 


如 果 IIS 返 回 了 C:\\ 下 的 文件 列表 , 则 说 明 目 标 存在 这 个 漏洞 ;如 果 返 回 的 是 404 
Object Not Found, 则 说 明 没有 问题 。 这 里 使 用 了 dir 命令 ,这 对 目标 系统 是 无 害 的 ,但 
是 入 侵 者 可 以 使 用 任何 命令 ,包括 format,net 等 命令 ,可 以 破坏 硬盘 数据 或 者 添加 用 
户 等 。 

和 上 面 的 例子 使 用 的 方法 类 似 ,对 于 拒绝 服务 漏洞 也 可 以 直接 使 用 渗透 代码 进行 测 
试 ,所 不 同 的 只 是 测试 DoS 漏洞 的 渗透 代码 通常 是 经 过 编译 的 二 进 制 代码 。 
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直接 测试 的 方法 具有 下 面 一 些 特点 : 

。 通常 用 于 对 Web 服务 器 漏洞 .拒绝 服务 漏洞 进行 检测 ; 
。 能 够 准确 地 判断 系统 是 否 存在 特定 漏洞 ; 

。 对 于 渗透 所 需 步 骤 较 多 的 漏洞 速度 较 慢 ; 

。 攻击 性 较 强 ,可 能 对 存在 漏洞 的 系统 造成 破坏 ; 

。 对 于 DoS 漏洞 ,测试 方法 会 造成 系统 崩溃 ; 

。 不 是 所 有 漏洞 的 信息 都 能 通过 测试 方法 获得 。 


2 推断 

推断 是 指 不 利用 系统 漏洞 而 判断 漏洞 是 否 存在 的 方法 。 它 并 不 直接 渗透 漏洞 ,只 是 
间接 寻找 漏洞 存在 的 证 据 。 采 用 推断 方法 的 检测 手段 主要 有 版 本 检查 (version check)、 
程序 行为 分 析 、 操 作 系统 堆栈 指纹 分 析 和 时 序 分 析 等 。 

其 中 ,版 本 检查 是 推断 方法 中 最 简单 的 一 个 应 用 。 它 依赖 于 服务 器 对 请 求 响应 的 旗 
标 获取 系统 的 有 关 信 息 , 然 后 将 获得 的 版 本 号 与 已 知 信息 比较 ,以 判断 目标 系统 是 否 是 受 
漏洞 影响 的 系统 。 如 要 检测 IIS 的 Unicode 解码 漏洞 ,除了 使 用 上 面 的 直接 测试 方法 ,也 
可 以 使 用 版 本 检查 的 方法 ,如 果 检 查 到 目标 用 的 IIS 版 本 是 5. 1 或 者 更 高 ,就 可 以 推断 目 
标 不 具有 Unicode 解码 漏洞 。 

行为 分 析 在 需要 推翻 某 个 “风险 假设 ”的 时 候 非常 有 用 。 在 这 种 情况 下 , 它 分 析 目 标 
程序 的 行为 ,如 果 发 现 该 程序 的 行为 和 具有 漏洞 的 版 本 的 程序 行为 不 一 致 ,就 认为 目标 程 
序 不 存在 漏洞 。 这 种 方法 不 如 渗透 测试 方法 可 靠 , 但 是 攻击 性 更 小 。 这 种 方法 在 推断 没 
有 公开 细节 的 新 漏洞 时 也 很 有 用 。 另 外 , 它 也 可 以 用 于 检查 DoS 漏洞 ,因为 它 基 本 没有 
攻击 性 ,所 以 可 以 在 检查 很 多 DoS 漏洞 以 后 再 重新 启动 系统 。 

推断 方法 有 时 也 和 测试 方法 结合 使 用 ,如 首先 推断 出 目标 采用 的 系统 类 型 ,然后 进行 
针对 该 系统 的 测试 。 

推断 的 方法 在 快速 检查 大 量 目标 时 很 有 用 ,因为 这 种 方法 对 计算 机 和 网 络 的 要 求 都 
很 低 。 而 它 最 主要 的 缺点 就 是 可 靠 性 较 低 。 


3 带 赁 证 的 测试 

凭证 是 指 访问 服务 所 需要 的 用 户 名 或 者 密码 ,包括 UNIX 的 登录 权限 和 从 网 络 调用 
Windows NT 的 API 的 能 力 。 

除了 目标 主机 IP 地 址 以 外 ,直接 测试 和 推断 两 种 方法 都 不 需要 其 他 任何 信息 。 然 
而 ,很 多 攻击 都 是 由 拥有 UNIX shell 访问 权限 或 者 NT 资源 访问 权限 的 用 户 发 起 的 ,他 
们 的 目标 在 于 将 自己 的 权限 提升 成 为 超级 用 户 ,从 而 可 以 执行 某 个 命令 。 对 于 这 样 的 漏 
洞 ,前 面 两 种 方法 很 难 检查 出 来 。 因 此 ,如 果 赋 予 测试 进程 目标 系统 的 角色 ,将 能 够 检查 
出 更 多 的 漏洞 。 这 种 方法 就 是 带 凭证 的 测试 。 

由 于 拥有 了 目标 主机 的 证 书 , 一 些 原来 只 能 由 本 地 扫描 发 现 的 漏洞 就 能 够 通过 网 络 
安全 扫描 发 现 了 。 然 而 需要 注意 的 是 ,由 于 拥有 了 目标 主机 的 证 书 , 检 测 系统 本 身 的 安全 
就 更 加 值得 注意 ,因为 人 侵 者 可 能 从 检测 系统 上 得 到 目标 系统 的 访问 权限 。 所 以 一 个 好 
的 检测 系统 应 该 集成 对 自己 进行 扫描 的 功能 ;否则 ,漏洞 扫描 有 可 能 变 得 很 危险 。 
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123 常用 的 网 络 扫描 工具 


网 络 扫描 的 一 些 常用 工具 都 是 可 以 从 Internet 上 免费 获得 的 。 在 使 用 这 些 工具 之 前 
请 一 定 确认 目标 网 络 已 经 授权 你 对 其 进行 扫描 。 因 为 这 些 工 具有 可 能 对 扫描 的 目标 造成 
危害 。 

1 Netcat 

由 Hobbit(hobbit @ avian. org ) 编写 的 Netcat (或 称 nc) 是 一 个 优秀 的 实用 工具 ， 
Weld Pond(weld@10pht. com) 将 其 移植 到 了 NT 平台 上 。 它 能 执行 的 任务 是 如 此 之 多 ， 
以 至 于 被 称 为 网 络 工具 箱 中 的 "瑞士 军刀 ”。 


2 网 络 主机 扫描 程序 Nrep 

由 Fyodor(fyodor@insecure. org) 编写 的 Nmap(www. nmap. org) 是 一 个 开放 源码 
的 网 络 扫描 工具 。Nmap 实现 了 前 面 提 到 的 绝 大 部 分 的 扫描 技巧 和 操作 系统 探测 技巧 ， 
可 以 用 来 发 现 网 络 上 存活 的 主机 、 这 些 主机 开放 了 哪些 TCP 和 UDP 端口 .这些 主机 运行 
什么 样 的 操作 系统 ,以 及 操作 系统 的 版 本 、 正 在 使 用 什么 样 的 防火 墙 和 过 滤 设 备 等 信息 。 


3 SAIAN 

前 面 的 两 个 工具 主要 是 用 于 发 现 目 标 和 抽取 信息 两 个 阶段 ,而 一 次 完整 的 漏洞 扫描 
还 应 该 包括 “漏洞 检测 ”这 个 阶段 。SATAN 即 “ 网 络 分 析 的 安全 管理 工具 ”。 它 提供 一 整 
套 安 全 管理 ,测试 和 报告 的 功能 ,可 以 用 来 搜集 网 络 上 主机 的 许多 信息 ,可 以 识别 并 且 自 
动 报告 与 网 络 相 关 的 安全 问题 。 

4 nessus 

nessus 是 一 个 功能 强大 而 又 易于 使 用 的 网 络 漏洞 扫描 工具 ,运行 于 POSIX 系统 
(Solaris,FreeBSD 和 GNU/Linux 等 )。 它 不 仅 免费 而 且 更 新 很 快 。 该 系统 被 设计 为 客 
户 / 服 务 器 模式 ,服务 器 端 负 责 进行 安全 扫描 ,客户 端 用 来 配置 .管理 服务 器 端 、 客 户 端 和 
服务 器 端 之 间 的 通信 使 用 SSL 加 密 。 

5 Xscan 

X-scan 是 由 “安全 焦点 ”开发 的 一 个 免费 的 漏洞 扫描 工具 ,运行 于 Windows 操作 系 
统 。 采 用 多 线程 方式 对 指定 IP 地 址 段 ( 或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功能 ,提供 
了 图 形 界面 和 命令 行 两 种 操作 方式 。 


124 ”不 同 的 扫描 策略 


前 面 介绍 了 网 络 扫 描 的 原理 ,技术 和 工具 。 然 而 对 计算 机 进行 安全 扫描 不 仅 可 以 从 
网 络 进 行 ,也 可 以 从 主机 进行 。 也 就 是 说 安全 扫描 有 基于 网 络 和 基于 主机 两 种 策略 。 
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(1) 基于 网 络 的 安全 评估 工具 从 入侵 者 的 角度 评估 系统 ,这 类 工具 叫 作 远程 扫描 器 
或 者 网 络 扫描 器 。 基 于 主机 的 安全 评估 工具 从 本 地 系统 管理 员 的 角度 评估 系统 ,这 类 工 
有 具 叫 作 本 地 扫描 器 或 者 系统 扫描 器 。 这 两 类 扫描 器 的 主要 目的 都 是 发 现 系统 或 网 络 潜在 
的 安全 漏洞 。 然 而 由 于 其 着 眼 点 和 实现 方式 不 同 , 两 者 的 特点 也 各 有 千秋 。 

(2) 基于 主机 的 脆弱 性 评估 分 析 文 件 内 容 , 对 系统 中 不 合适 的 设置 .脆弱 的 口令 及 其 
他 同安 全 规则 抵触 的 对 象 进行 检查 。 它 具有 以 下 特点 : 

。 运行 于 单个 主机 ,扫描 目标 为 本 地 主机 ; 

。 扫描 器 的 设计 和 实现 与 目标 主机 的 操作 系统 相关 ; 

。 可 以 在 系统 上 任意 创建 进程 ; 

。 扫描 项 目 主 要 包括 用 户 账号 文件 ,组 文件 、 系 统 权限 、 系 统 配 置 文件 .关键 文件 .日 

志文 件 ,用 户口 令 、 网 络 接口 状态 .系统 服务 和 软件 脆弱 性 等 。 

基于 网 络 的 脆弱 性 评估 通过 执行 一 些 插件 或 者 脚本 模拟 对 系统 进行 攻击 的 行为 并 记 
录 系 统 的 反应 ,从 而 发 现 其 中 的 漏洞 。 它 具有 以 下 特点 : 

。 运行 于 单个 或 多 个 主机 ,扫描 目标 为 本 地 主机 或 者 单 /多 个 远程 主机 ; 

， 扫描 器 的 设计 和 实现 与 目标 主机 的 操作 系统 无 关 ; 

。， 通 常 的 网 络 安全 扫描 不 能 访问 目标 主机 的 本 地 文件 (具有 目标 主机 访问 权限 的 扫 

描 除外 ); 
。 扫描 项 目 主要 包括 目标 的 开放 端口 、 系 统 网 络 服 务 、 系 统 信 息 、 系 统 漏洞 .远程 服 
务 漏洞 特洛伊 木马 检测 和 拒绝 服务 攻击 等 。 

基于 主机 的 脆弱 性 评估 可 以 更 准确 地 定位 系统 的 问题 ,发 现 系 统 的 漏洞 ;然而 缺点 是 
平台 相关 ,升级 复杂 ,而 且 扫 描 效 率 较 低 (一 次 只 能 扫描 一 人 台 主 机 )。 基 于 网 络 的 脆弱 性 评 
估 从 入 侵 者 的 角度 进行 检测 ,能够 发 现 系 统 中 最 危险 、 最 可 能 被 入侵 者 渗透 的 漏洞 ,扫描 
效率 更 高 ,而 且 由 于 与 目标 平台 无 关 , 通 用 性 强 , 安 装 简单 ;缺点 是 不 能 检查 不 恰当 的 本 地 
安全 策略 ,另外 也 可 能 影响 网 络 性 能 。 


ij 二 本 章 小 结 


计算 机 漏洞 是 系统 的 一 组 特性 ,恶意 的 主体 (攻击 者 或 者 攻击 程序 ) 能 够 利用 这 组 特 
性 ,通过 已 授权 的 手段 和 方式 获取 对 资源 的 未 授权 访问 ,或 者 对 系统 造成 损害 。 

从 技术 角度 而 言 ,漏洞 的 来 源 主要 有 软件 或 协议 设计 时 的 瑕 症 、 软 件 或 协议 实现 中 的 
弱点 ,软件 本 身 的 瑕 羔 、 系 统 和 网 络 的 错误 配置 。 

一 次 完整 的 网 络 扫描 主要 分 为 3 个 阶段 : 目标 发 现 、 信 息 扬 取 和 漏洞 检测 。 

目标 发 现 阶段 的 技术 主要 有 ICMP 扫射 .广播 ICMP、 非 回 显 ICMP、TCP 扫射 和 
UDP 扫射 。 

端口 扫描 的 主要 技术 有 TCP connect( ) 扫描 ,TCP SYN 扫描 ,TCP ACK 扫描 ,TCP 
FIN 扫描 ,TCP XMAS 扫描 、TCP 空 扫描 、FTP 反弹 扫描 (FTP Bounce Scan) 和 UDP 
扫描 。 
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远程 操作 系统 识别 的 主要 方法 有 系统 服务 旗 标 识别 、 主 动 协议 栈 指 纹 探测 (ICMP 响 
应 分 析 、TCP 报 文 响应 分 析 和 TCP 报 文 延 时 分 析 ) 和 被 动 协议 栈 指纹 探测 。 

漏洞 检测 的 主要 方法 有 直接 测试 (test) ,推断 (inference) 和 带 凭证 的 测试 (test with 
credential) 。 

基于 网 络 的 安全 评估 工具 从 入 侵 者 的 角度 评估 系统 ,这 类 工具 叫 作 远程 扫描 器 或 者 
网 络 扫描 器 。 基 于 主机 的 安全 评估 工具 从 本 地 系统 管理 员 的 角度 评估 系统 ,这 类 工具 叫 
作 本 地 扫描 器 或 者 系统 扫描 器 。 这 两 类 扫描 器 的 主要 目的 都 是 发 现 系统 或 网 络 潜在 的 安 
全 漏洞 。 然 而 由 于 其 着 眼 点 和 实现 方式 不 同 , 两 者 的 特点 也 各 有 千秋 。 


习 题 


. 计算 机 系统 会 被 黑客 攻击 的 最 根本 原因 是 什么 ”网 络 攻击 的 本 质 是 什么 ? 
. 在 CERT/CC 的 网 站 上 查找 2002 年 报告 的 漏洞 数量 。 

. 在 Internet 上 查找 现在 最 新 的 SANS/FBI 最 危险 的 20 个 漏洞 列表 。 

. 简 述 计算 机 脆弱 性 的 概念 和 产生 原因 。 

什么 是 CVE 和 Bugtraq? 

. 在 CVE 的 网 站 上 查找 名 字 为 CVE-2000-0884 的 漏洞 描述 。 

. 查找 上 述 漏洞 的 Bugtraq ID 及 Bugtraq 数据 库 中 列 出 的 受 影响 系统 。 

. 简 述 网 络 安全 扫描 的 内 容 和 大 致 步 又 。 

. 有 哪些 方法 可 以 用 来 发 现 目 标 ? 各 自 的 优 缺 点 是 什么 ? 

.端口 扫描 的 目的 是 什么 ?” 简 述 TCP SYN 扫描 的 原理 。 

. 什么 是 操作 系统 的 TCP/IP 协议 栈 指纹 ?探测 远程 操作 系统 类 型 有 哪些 方法 ? 
12. 漏洞 检测 的 方法 主要 有 了 哪 3 种 ? 

13. 检测 拒绝 服务 漏洞 可 以 使 用 哪些 方法 ? 比较 这 些 方法 的 优 缺 点 。 

14. Nmap 通过 什么 判断 远程 操作 系统 类 型 ? 

15. nessus 的 插件 有 什么 用 ? 

16. 基于 主机 的 扫描 和 基于 网 络 的 扫描 有 什么 不 同 ? 


ooo oor- 


js 
一 Oo 
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13 登 
本 检测 


本 章 要 点 : 

。 入 侵 检 测 的 概念 ; 

人 侵 检测 系统 分 类 ; 

。 入侵 检测 系统 分 析 方 式 ; 

人 侵 检 测 系统 的 设置 与 部 署 ; 
入 侵 检测 系统 的 优 缺 点 。 


131 入侵 检测 概述 


1311 入 侵 检 测 的 概念 


和 人 侵 检测 是 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 搜集 信息 并 对 其 进行 分 析 ， 
从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 的 一 种 机 制 。 入 侵 
检测 系统 的 英文 缩写 是 IDS(intrusion detection system) , 它 使 用 入 侵 检 测 技术 对 网 络 与 
其 上 的 系统 进行 监视 ,并 根据 监视 结果 进行 不 同 的 安全 动作 ,最 大 限度 地 降低 可 能 的 入 侵 
危害 。 简 单 地 说 ,入 侵 检测 系统 是 这 样 工作 的 : 若 有 一 个 计算 机 系统 , 它 与 网 络 连接 着 ， 
或 许 也 同 Internet 连接 ,由 于 一 些 原因 ,允许 网 络 上 的 授权 用 户 访问 该 计算 机 。 例 如 ,有 
一 个 连接 着 Internet 的 Web 服务 器 ,允许 一 定 的 客户 、 员 工 和 一 些 潜在 的 客户 访问 存放 
在 该 Web 服务 器 上 的 Web 页 面 。 然 而 ,不 希望 其 他 员工 \、 顾 客 或 未 知 的 第 三 方 的 未 授权 
访问 。 一 般 情况 下 ,可 以 采用 一 个 防火 墙 或 者 一 些 类 型 的 认证 系统 阻止 未 授权 访问 。 然 
而 ,有 时 简单 的 防火 墙 措施 或 者 认证 系统 可 能 被 攻破 。 入 侵 检测 是 一 系列 在 适当 的 位 置 
上 对 计算 机 未 授权 访问 进行 警告 的 机 制 。 对 于 假冒 身份 的 入侵 者 ,入 侵 检测 系统 也 能 通 
过 与 其 他 安全 设备 的 联动 ,采取 一 些 措施 来 拒绝 其 访问 。 

入 侵 检 测 系统 基本 上 不 具有 访问 控制 的 能 力 , 它 就 像 是 一 个 有 着 多 年 经 验 ,熟悉 各 种 
和信 侵 方式 的 网 络 侦察 员 ,通过 对 数据 包 流 的 分 析 , 可 以 从 数据 流 中 过 滤 出 可 疑 数据 包 , 通 
过 与 已 知 的 入 侵 方式 进行 比较 ,确定 人 侵 是 否 发 生 以 及 入 侵 的 类 型 并 进行 报警 。 网 络 管 
理 员 可 以 根据 这 些 报警 确切 地 知道 所 受到 的 攻击 并 采取 相应 的 措施 。 可 以 说 ,入 侵 检测 
系统 是 网 络 管理 员 经 验 积累 的 一 种 体现 , 它 极 大 地 减轻 了 网 络 管理 员 的 负担 ,降低 了 对 网 
络 管理 员 的 技术 要 求 ,提高 了 网 络 安全 管理 的 效率 和 准确 性 。 

目前 ,大 部 分 网 络 攻击 在 攻击 前 有 资料 搜集 的 过 程 ,例如 ,基于 特定 系统 的 漏洞 攻击 ， 
在 攻击 之 前 需要 进行 端口 扫描 ,以 确认 系统 的 类 型 以 及 漏洞 相关 的 端口 是 否 开 启 。 某 些 
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攻击 在 初期 就 可 以 表现 出 较为 明显 的 特征 ,例如 ,假冒 有 效用 户 登录 ,在 攻击 初期 的 登录 
尝试 具有 明显 的 特征 。 对 于 这 两 类 攻击 ,入 侵 检 测 系统 可 以 在 攻击 的 前 期 准备 时 期 或 是 
在 攻击 刚刚 开始 的 时 候 进 行 确认 并 发 出 警报 。 入 侵 检测 系统 还 可 以 对 报警 的 信息 进行 记 
录 , 为 以 后 的 一 系列 实际 行动 提供 证 据 支持 ,形成 人 侵 行 为 的 完整 证 据 链 。 这 就 是 入侵 检 
测 系统 的 预警 功能 。 

入 侵 检测 一 般 采 用 旁 路 侦 听 的 机 制 ,因此 不 会 产生 对 网 络 带宽 的 大 量 占用 ,系统 的 使 
用 对 网 内 外 的 用 户 来 说 是 透明 的 ,不 会 有 任何 的 影响 。 入 侵 检测 系统 的 单独 使 用 不 能 起 
到 保护 网 络 的 作用 ,也 不 能 独立 地 防止 任何 一 种 攻击 。 但 它 是 整个 网 络 安全 系统 的 一 个 
重要 的 组 成 部 分 , 它 所 扮演 的 是 网 络 安全 系统 中 侦察 与 预警 的 角色 ,协助 网 络 管理 员 发 现 
并 处 理 任何 已 知 的 入 侵 。 可 以 说 , 它 是 对 其 他 安全 系统 有 力 的 补充 ,弥补 了 防火 墙 在 高 层 
上 的 不 足 。 通 过 对 入 侵 检测 系统 所 发 出 警报 的 处 理 , 网 络 管理 员 可 以 有 效 地 配置 其 他 安 
全 产品 ,以 使 整个 网 络 安全 系统 达到 最 佳 的 工作 状态 , 尽 可 能 降低 因 攻 击 而 带 来 的 损失 。 

随 着 技术 的 不 断 进 步 ,成 熟 的 入 侵 检 测 技 术 也 应 用 到 了 实时 网 络 防 护 领域 。 入 侵 防 
护 以 人 侵 检测 技术 为 基础 ,依托 高 性 能 硬件 ,实现 对 数据 包 的 高 层 应 用 分 析 , 针 对 可 能 存 
在 的 应 用 攻击 行为 ,实时 进行 阻 断 与 数据 丢弃 ,提高 了 网 络 对 安全 事件 响应 的 实时 性 ,更 
好 地 保护 主机 的 安全 。 


1312 入 侵 检测 系统 的 基本 结构 


CIDF(common intrusion detection {ramework, 网 址 http: //www. gidos. org/) 阐 述 
了 一 个 人 侵 检 测 系统 的 通用 模型 ,如 图 13-1 所 示 。CIDF 将 入 侵 检 测 系 统 需 要 分 析 的 数 
据 统称 为 事件 (event) ,事件 可 以 是 网 络 中 的 数据 包 , 也 可 以 是 从 系统 日 志 等 其 他 途径 得 
到 的 信息 。 它 将 入 侵 检测 系统 分 为 以 下 组 件 。 


5- 一- 一- 一 | 响应 单元 


1 1 
事件 分 析 器 | -一 一 一 一 -一 1 一- 一 一 | 事件 数据 库 
| 1 
| 1 
中 事件 产生 器 |-----! 


Ta 


图 13-1 CIDF 模型 


(1) 事件 产生 器 

事件 产生 器 采集 和 监视 被 保护 系统 的 数据 ,这 些 数据 可 以 是 网 络 的 数据 包 , 也 可 以 是 从 
系统 日 志 等 其 他 途径 搜集 到 的 信息 。 并 且 将 这 个 数据 进行 保存 ,一 般 是 保存 到 数据 库 中 。 

(2) 事件 分 析 器 

事件 分 析 器 的 功能 主要 分 为 两 个 方面 : 一 是 用 于 分 析 事 件 产生 器 搜集 到 的 数据 ,区 
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分 数据 的 正确 性 ,发 现 非法 的 或 者 具有 潜在 危险 的 .异常 的 数据 现象 ,通知 响应 单元 做 出 
入 侵 防 范 ; 二 是 对 数据 库 保存 的 数据 做 定期 的 统计 分 析 ,发 现 某 段 时 期 内 的 异常 表现 , 进 
而 对 该 时 期 内 的 异常 数据 进行 详细 分 析 。 

(3) 响应 单元 

响应 单元 是 协同 事件 分 析 器 工作 的 重要 组 成 部 分 ,一 旦 事件 分 析 器 发 现 具有 入 侵 企 
图 的 异常 数据 ,响应 单元 就 要 发 挥 作 用 ,对 具有 入侵 企 图 的 攻击 施 以 拦截 . 阻 断 ` 反 追踪 等 
手段 ,保护 被 保护 系统 免 受 攻击 和 破坏 。 

(4) 事件 数据 库 

事件 数据 库 记 录 事件 分 析 单元 提供 的 分 析 结 果 , 同 时 记录 所 有 来 自 于 事件 产生 器 的 
事件 ,用 来 进行 以 后 的 分 析 与 检查 。 


132 ”入侵 检测 系统 分 类 


根据 入 侵 检 测 系 统 的 检测 对 象 ,入 侵 检测 系统 主要 分 为 两 大 类 : 基于 主机 的 人 侵 
检测 系统 和 基于 网 络 的 入侵 检测 系统 。 而 根据 工作 方式 的 不 同 ,基于 网 络 的 入 侵 检测 
系统 还 分 为 旁 路 和 人 侵 检测 系统 和 主干 入 侵 防 护 系 统 。 除 此 之 外 ,还 有 基于 内 核 的 高 性 
能 入 侵 检 测 系 统 和 两 大 类 相 结 合 的 入 侵 检测 系统 ,这 些 类 别 是 两 个 主要 类 别 的 引申 和 


综合 。 
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基于 主机 的 入 侵 检 测 系统 用 于 保护 单 台 主机 不 受 网 络 攻 击 行为 的 侵害 ,需要 安装 在 
被 保护 的 主机 上 。 这 一 类 入 侵 检测 系统 直接 与 操作 系统 相关 , 它 控制 文件 系统 以 及 重要 
的 系统 文件 ,确保 操作 系统 不 会 被 随意 地 删改 。 该 类 入 侵 检 测 系统 能 够 及 时 发 现 操作 系 
统 所 受到 的 侵害 ,并 且 由 于 它 保存 一 定 的 校 验 信息 和 所 有 系统 文件 的 变更 记录 ,所 以 在 一 
定 程度 上 还 可 以 实现 安全 恢复 机 制 。 

按照 检测 对 象 的 不 同 ,基于 主机 的 入 侵 检 测 系统 可 以 分 为 两 类 : 网 络 连接 检测 和 主 
机 文件 检测 。 


1 网 络 连接 检测 

网 络 连接 检测 是 对 试图 进入 该 主机 的 数据 流 进 行 检测 ,分析 确定 是 否 有 入 侵 行为 , 避 
免 或 减少 这 些 数据 流 进 入 主机 系统 后 造成 损害 。 

网 络 连接 检测 可 以 有 效 地 检测 出 是 否 存 在 攻击 探测 行为 ,攻击 探测 几乎 是 所 有 攻击 
行为 的 前 奏 。 系 统管 理 员 可 以 设置 好 访问 控制 表 . 其 中 包括 容易 受到 攻击 探测 的 网 络 服 
务 , 并 且 为 它们 设置 好 访问 权限 。 如 果 入 侵 检 测 系 统 发 现 有 对 未 开放 的 服务 端口 进行 网 
络 连 接 , 说 明 有 人 在 寻找 系统 漏洞 ,这 些 探测 行为 就 会 被 入 侵 检 测 系统 记录 下 来 ,同时 这 
种 未 经 授权 的 连接 也 被 拒绝 。 
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2 主机 文件 检测 

通常 入 侵 行为 会 在 主机 的 各 种 相关 文件 中 留 下 痕迹 ,主机 文件 检测 能 够 帮助 系统 管 
理 员 发 现 信 侵 行 为 或 人 侵 企图 ,及 时 采取 补救 措施 。 

主机 文件 检测 的 检测 对 象 主要 包括 以 下 几 种 : 

(1) 系统 日 志 

系统 日 志文 件 中 记录 了 各 种 类 型 的 信息 ,包括 各 用 户 的 行为 记录 。 如 果 日 志文 件 中 
存在 着 异常 的 记录 ,就 可 以 认为 已 经 或 正在 发 生 网 络 人 侵 行为 。 这 些 异常 包括 不 正常 的 
反复 登录 失败 记录 ,未 授权 用 户 越权 访问 重要 文件 、 非 正常 登录 行为 等 。 

(2) 文件 系统 

恶意 的 网 络 攻击 者 会 修改 网 络 主机 上 包含 重要 信息 的 各 种 数据 文件 ,他 们 可 能 会 删 
除 或 者 替换 某 些 文件 ,或 者 尽量 修改 各 种 日 志 记 录 来 销毁 他 们 的 攻击 行为 可 能 留 下 的 痕 
迹 。 如 果 入 侵 检测 系统 发 现 文件 系统 发 生 了 异常 的 改变 ,例如 一 些 受 限 访问 的 目录 或 文 
件 被 非 正常 地 创建 ,修改 或 删除 ,就 可 以 怀疑 发 生 了 网 络 入 侵 行为 。 

(3) 进程 记录 

主机 系统 中 运行 着 各 种 不 同 的 应 用 程序 ,包括 各 种 服务 程序 。 每 个 执行 中 的 程序 都 
包含 了 一 个 或 多 个 进程 。 每 个 进程 都 存在 于 特定 的 系统 环境 中 ,能 够 访问 有 限 的 系统 资 
源 、 数 据 文件 等 ,或 者 与 特定 的 进程 进行 通信 。 黑 客 可 能 将 程序 的 进程 分 解 ,致使 程序 中 
止 , 或 者 令 程 序 执行 违背 系统 用 户 意图 的 操作 。 如 果 入 侵 检测 系统 发 现 某 个 进程 存在 着 
异常 的 行为 ,就 可 以 怀疑 有 网 络 人 侵 。 

(4) 系统 运行 控制 

目前 的 操作 系统 ,尤其 是 主流 操作 系统 ,在 安全 防护 上 都 存在 一 定 程度 的 不 足 。 针 对 
系统 的 运行 特性 ,主机 入 侵 检测 系统 参与 系统 的 运行 过 程 ,采取 措施 防止 缓冲 区 溢出 , 增 
加 文件 系统 的 保护 ,封闭 信号 ,从 而 使 得 入 侵 者 破坏 系统 越 来 越 困 难 。 同 时 采取 一 些 步 又 
阻止 根 用 户 的 一 些 活动 ,例如 安装 一 个 包 嗅 探 器 或 改变 防火 墙 策略 。 

Tripwire 就 是 一 种 基于 主机 文件 的 人 侵 检 测 系统 , 它 为 主机 系统 的 一 些 关 键 文件 建 
立 一 个 高 效 的 校 验 和 ,并 且 根 据 文件 的 正常 变化 进行 维护 。 通 过 将 这 些 校 验 和 与 实际 文 
件 进行 比较 ,来 检测 是 否 存在 对 文件 及 其 属性 的 异常 修改 ,从 而 发 现 网 络 入 侵 行 为 ,并且 
能 够 在 一 定 程度 上 恢复 修改 前 的 系统 文件 。 

在 Linux 上 主要 有 两 种 主机 入 侵 检测 系统 : OpenWall 和 LIDS。 它 们 与 Linux 系统 
很 好 地 结合 ,防止 系统 被 非法 使 用 与 破坏 。 

可 能 有 些 人 觉得 像 Tripwire 这 样 的 系统 并 不 是 很 有 用 。 但 是 ,一 旦 系统 被 外 界 的 人 
侵 者 破坏 并 需要 关闭 和 重新 建设 该 系统 ,就 会 发 觉 监视 文件 系统 以 发 现 滥用 的 征兆 是 令 
人 非常 乐意 接受 的 。 破 坏 已 经 产生 了 ,系统 的 完整 性 没有 办 法 得 到 保证 ,所 以 最 好 的 办 法 
是 用 提供 商 提供 的 原来 版 本 的 光盘 重新 构建 操作 系统 。 而 LIDS 提供 的 方法 能 保护 系统 
不 被 破坏 ,因此 更 具有 吸引 力 。 

基于 主机 的 人 侵 检测 系统 具有 以 下 优点 : 

。 检测 准确 度 较 高 ; 
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。 可 以 检测 到 没有 明显 行为 特征 的 入 侵 ; 

。 能 够 对 不 同 的 操作 系统 进行 有 针对 性 的 检测 ; 

。， 成 本 较 低 ; 

。 不 会 因 网 络 流量 影响 性 能 ; 

。， 适 于 加 密 和 交换 环境 。 

基于 主机 的 入 侵 检测 系统 具有 以 下 不 足 : 

。 实 时 性 较 差 ; 

， 无 法 检测 数据 包 的 全 部 ; 

。 检测 效果 取决 于 日 志 系统 ; 

。 占用 主机 资源 ; 

。 隐蔽 性 较 差 ; 

。 入 侵 检测 系统 本 身 的 文件 也 是 系统 安全 的 薄弱 点 ,如 果 操 作 系 统 权限 管理 较 
差 ,入侵 者 能 够 修改 重要 的 信息 文件 ,这 种 入 侵 检 测 系统 将 无 法 起 到 预期 的 
作用 。 
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基于 网 络 的 入 侵 检 测 系统 通常 是 作为 一 个 独立 的 个 体 放置 于 被 保护 的 网 络 上 , 它 使 
用 原始 的 网 络 分 组 数据 包 作为 进行 攻击 分 析 的 数据 源 , 一 般 利 用 一 个 网 络 适配器 来 实时 
监视 和 分 析 所 有 通过 网 络 进行 传输 的 通信 。 一 旦 检测 到 攻击 ,入 侵 检 测 系统 应 答 模块 通 
过 通知 .报警 以 及 中 断 连接 等 方式 来 对 攻击 做 出 反应 。 

基于 网 络 的 入 侵 检 测 可 以 侦 听 某 一 个 IP, 保 护 特 定 服务 器 的 安全 ,也 可 以 侦 听 整个 
网 段 。 为 了 能 够 对 整个 网 段 进行 侦 听 ,系统 会 将 本 身 的 网 卡 设置 为 混杂 模式 以 接收 网 段 
内 的 所 有 数据 包 。 通 常 系统 会 使 用 位 于 网 络 层 和 传输 层 的 网 络 侦 听 底层 实现 对 网 络 的 侦 
听 。 它 们 的 主要 任务 就 是 获取 其 所 见 到 的 所 有 包 并 传 给 上 一 层 。 

获取 包 的 主要 目的 是 要 对 它 进行 处 理 以 获得 需要 的 信息 。 最 常用 的 处 理 是 数据 包 的 
流量 统计 以 及 数据 包 的 归 类 分 析 。 以 前 ,系统 管理 员 可 以 通过 对 数据 包 的 分 析 , 了 解 到 系 
统 是 否 存 在 被 攻击 的 情况 或 是 否 存在 非法 的 访问 。 这 项 工作 如 果 单 纯 由 网 络 管理 员 来 
做 ,就 会 耗费 大 量 的 时 间 , 同 时 也 对 网 络 管理 员 提 出 了 更 高 的 要 求 。 使 用 入 侵 检测 系统 可 
以 较 好 地 解决 这 个 问题 。 通 过 多 年 的 总 结 , 人 们 发 现 大 多 数 的 人 侵 都 有 一 定 的 特征 。 只 
要 在 数据 包 记录 中 发 现 这 种 有 特征 的 行为 ,就 可 以 在 一 定 程度 上 断定 发 生 了 或 即将 发 生 
入 侵 。 入 侵 检测 系统 就 是 通过 将 实际 的 数据 流量 记录 与 入 侵 模 式 库 中 的 入 侵 模式 进行 匹 
配 , 寻 找 可 能 的 攻击 特征 。 如 果 是 正常 数据 包 , 则 允许 通过 或 留待 进一步 分 析 ; 如 果 是 不 
安全 的 数据 包 , 则 可 以 进行 阻 断 网 络 连 接 等 操作 ,在 这 种 情况 下 ,还 可 以 重新 配置 防火 墙 
以 阻 断 相 应 的 网 络 连接 ,共同 保护 主机 的 安全 。 大 体 上 ,基于 网 络 的 入 侵 检测 系统 主要 经 
过 了 以 下 几 个 发 展 阶段 : 


1 包 嗅 探 器 和 网 络 监视 器 
最 初 设计 包 嗅 探 器 和 网 络 监视 器 的 目的 是 帮助 监视 以 太 网 络 的 通信 。 最 早 有 两 种 产 
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品 : Novell LANalyser 和 Network Monitor。 这 些 产品 抓获 所 有 网 络 上 能 够 看 到 的 包 。 
一 旦 抓获 了 这 些 数 据 包 , 就 可 以 进行 以 下 工作 : 

(1) 对 包 进 行 统计 。 统 计 通 过 的 数据 包 , 并 统计 该 时 期 内 通过 的 数据 包 的 总 的 大 小 
(包括 总 的 开销 ,如 包 的 报头 ), 就 可 以 很 好 地 知道 网 络 的 负载 状况 。LANalyser 和 
Network Monitor 都 提供 了 网 络 相关 负载 的 图 形 化 或 图 表 表 现形 式 。 

(2) 详细 地 检查 包 。 例 如 ,可 以 抓获 一 系列 到 达 Web 服务 器 的 数据 包 来 诊断 服务 器 
的 问题 。 

近年 来 , 包 嗅 探 产品 已 经 成 了 独立 的 产品 。 程 序 ( 例 如 Ethereal 和 Network Monitor 
的 最 新 版 本 ) 可 以 对 内 部 各 种 类 型 的 包 进 行 拆 分 ,从 而 可 以 知道 包 内 部 发 生 了 什么 类 型 的 
通信 。 

这 些 工 具 同 时 也 能 用 来 进行 破坏 活动 。 例 如 ,通过 嗅 探 连接 到 一 台 机 器 的 Telnet 
包 , 包 嗅 探 器 能 够 用 来 发 现 系统 用 户 UNIX 密码 。 一 个 攻击 者 一 旦 危害 网 络 , 他 们 要 做 
的 第 一 件 事 就 是 安装 一 些 包 嗅 探 器 。 

所 有 的 包 嗅 探 器 都 要 求 网 络 接口 运行 在 混杂 模式 下 。 只 有 运行 在 混杂 模式 下 , 包 嗅 
探 器 才能 接收 通过 网 络 接口 卡 的 每 个 包 。 在 安装 包 嗅 探 器 的 机 器 上 运行 包 嗅 探 器 通常 需 
要 管理 员 的 权限 ,这 样 ,网卡 的 硬件 才能 被 设置 为 混杂 模式 。 

另外 需要 考虑 的 一 点 是 包 嗅 探 器 在 交换 机 上 的 使 用 ,在 一 个 网 络 中 , 它 比 集线器 使 用 
得 更 多 。 注 意 ,在 交换 机 的 一 个 接口 上 收 到 的 数据 包 不 总 是 被 送 向 交换 机 的 其 他 接口 。 
由 于 这 种 原因 , 包 嗅 探 器 在 交换 网 络 环境 下 通常 不 能 正常 工作 ,需要 交换 机 配置 镜像 端口 
来 专门 提供 包 嗅 探 功 能 。 


2 基于 网 络 的 入 侵 检 测 

从 安全 的 观点 来 看 , 包 嗅 探 器 所 带 来 的 好 处 很 少 。 抓 获 网 络 上 的 每 个 数据 包 , 拆 分 该 
包 , 根 据 包 的 内 容 手工 采取 相应 的 反应 , 太 浪费 时 间 了 ,尤其 是 对 于 那些 天 天 在 外 进行 网 
络 培训 的 人 员 而 言 , 从 大 量 积累 数据 中 获取 有 价值 的 信息 非常 困难 。 

ISS RealSecure Engine 和 Network Flight Recorder 是 基于 网 络 人 侵 检 测 的 两 种 类 
型 软件 包 。RealSecure Engine 能 够 执行 的 入 侵 检测 是 检查 通过 网 络 的 数据 包 。 对 于 合 
法 的 数据 包 ,允许 它们 通过 (为 了 今后 的 分 析 , 也 可 以 对 它们 进行 记录 )。 当 一 个 数据 包 危 
及 到 目标 系统 的 安全 或 完整 性 时 ,同时 向 目标 系统 和 发 送 该 数据 包 的 系统 发 送 TCP 
“Connection Closed” 或 ICMP"“port unreachable” 来 阻止 该 包 的 传送 。 

此 外 ,基于 网 络 的 入 侵 检测 系统 可 以 执行 以 下 任务 : 

(1) 检测 端口 扫描 。 在 攻击 一 个 系统 时 ,一 个 人 侵 者 通常 对 该 系统 进行 端口 扫描 ,从 
而 判断 存在 哪些 脆弱 性 。 企 图 对 Internet 上 的 一 台 主 机 进行 端口 扫描 通常 是 一 个 人 要 试 
图 破坏 网 络 的 一 个 信号 。 

(2) 检测 常见 的 攻击 行为 。 访 问 Web 服务 器 的 80 端口 通常 被 认为 是 无 害 的 活动 ， 
但 是 ,一 些 访 问 企图 事实 上 是 故意 在 进行 攻击 ,或 者 试图 攻击 。 例如 ,一 个 像 
“GET/../../..etc/passwd HTTP/1.0” 这 样 的 访问 或 许 是 一 个 不 好 的 征兆 ,必须 封锁 。 

(3) 识别 各 种 各 样 可 能 的 IP 欺骗 攻击 。 用 来 将 IP 地 址 转化 为 MAC 地 址 的 ARP 协 
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议 通常 是 一 个 攻击 目标 。 通 过 在 以 太 网 上 发 送 伪造 的 ARP 数据 包 , 已 经 获得 系统 访问 
权限 的 入 侵 者 可 以 假装 是 一 个 不 同 的 系统 在 进行 操作 。 这 将 导致 各 种 各 样 的 拒绝 服务 攻 
击 , 也 叫 系统 支持 。 一 个 重要 的 服务 器 (如 DNS 服务 器 或 者 认证 服务 器 ) 是 如 何 被 欺骗 的 
呢 ? 入 侵 者 可 以 使 用 这 种 欺骗 将 数据 包 重 定向 到 自己 的 系统 ,并 在 安全 的 网 络 上 进行 中 
间 人 类 型 的 攻击 。 通 过 记录 ARP 数据 包 , 基 于 网 络 的 人 侵 检测 系统 就 能 识别 出 受害 的 
源 以 太 网 地 址 ,并 判断 是 否 是 一 个 破坏 者 。 

(4) 当 检 测 到 一 个 不 希望 的 活动 时 ,基于 网 络 的 入 侵 检 测 系统 将 采取 行动 ,包括 干涉 
从 入 侵 者 处 发 来 的 通信 ,或 重新 配置 附近 的 防火 墙 策略 以 封锁 从 入侵 者 的 计算 机 或 网 络 
发 来 的 所 有 通信 。 

基于 网 络 的 入 侵 检 测 系统 有 以 下 优点 : 

。 可 以 提供 实时 的 网 络 行为 检测 ; 

。 可 以 同时 保护 多 台 网 络 主机 ; 

。 具有 良好 的 隐蔽 性 ; 

。 有 效 保护 和 人 侵 证 据 ; 

， 不 影响 被 保护 主机 的 性 能 以 及 服务 的 正常 提供 。 

基于 网 络 的 人 侵 检 测 系统 有 以 下 不 足 : 

。， 防 入 侵 欺 骗 的 能 力 通 常 较 差 ; 

。 在 交换 式 网 络 环境 中 难以 配置 ; 

。 检测 性 能 受 硬件 条 件 限 制 ; 

。 不 能 处 理 加 密 后 的 数据 。 


1323 入 侵 防 护 系统 


入侵 防护 系统 (intrusion protection system,，IPS) 是 网 络 人 侵 检 测 系 统 的 一 种 特殊 形 
式 。 从 安全 防护 的 地 位 上 来 看 ,人 侵 防 护 系统 已 经 超出 了 入 侵 检测 系统 的 范围 。 它 是 网 
络 高 层 应 用 防护 设备 ,是 安全 防护 产品 的 进一步 拓展 。 

入 侵 防护 系统 主要 采用 入 侵 检测 技术 实现 网 络 防护 功能 ,在 网 络 位 置 上 ,入 侵 防 护 系 
统 位 于 网 络 主干 位 置 ,一 般 以 透明 网 关 形 式 存 在 。 所 有 的 进出 网 络 的 数据 包 均 需要 通过 
入 侵 防护 系统 。 因 此 入 侵 防护 系统 有 时 也 被 称 为 嵌入 式 IDS 或 网 关 IDS。 

人 侵 防护 系统 从 链 路 层 获取 网 络 数 据 , 使 用 入 侵 检测 技术 对 数据 包 进 行 分 析 , 对 其 中 
的 高 层 应 用 协议 数据 进行 重组 与 协议 追踪 。 对 存在 问题 的 数据 包 , 则 处 理 该 数据 包 并 关 
闭 相应 连接 ,而 正常 的 数据 包 则 通过 另 一 网 卡通 过 。 对 于 存在 问题 的 数据 包 , 入侵 防 护 系 
统 通常 的 做 法 是 直接 丢弃 ,也 可 以 采用 修改 重建 报警 等 响应 方式 。 通 过 对 问题 数据 的 实 
时 阻 断 ,入 侵 防护 系统 可 以 在 第 一 时 间 阻 断 攻击 行为 ,防止 受 保护 服务 器 受到 攻击 。 通 过 
对 攻击 行为 的 过 滤 ,保证 了 服务 器 的 稳定 运行 ,提高 了 整个 网 络 系统 的 可 靠 性 。 

和信 侵 防 护 系统 核心 采用 了 网 络 人 侵 检测 技术 ,由 于 目前 硬件 和 软件 技术 条 件 的 限制 ， 
和信 侵 防护 系统 通常 是 防火 墙 技术 与 人 侵 检测 技术 相 结合 的 产物 。 通 过 防火 墙 技术 过 滤 大 
部 分 数据 ,对 于 关键 应 用 ,如 Web 应 用 、 邮 件 应 用 、 文 件 共享 应 用 等 ,根据 应 用 端口 选择 性 
上 传 到 入 侵 检测 核心 ,根据 分 析 结 果 ,决定 是 否 继续 传送 。 
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由 于 入 侵 检 测 技术 对 运算 性 能 要 求 较 高 ,目前 成 形 的 入 侵 防 护 产 品 以 硬件 形式 的 居 
多 。 通过 将 人 侵 检测 的 成 熟 技术 一 一 特征 匹配 技术 固化 在 硬件 中 ,提高 对 单 包 数 据 分 析 
的 能 力 ,实现 基于 单 包 的 网 络 人 侵 防 护 。 这 种 硬件 入 侵 防护 系统 可 以 适应 高 带宽 的 网 络 
要 求 ,对 于 自动 型 网 络 攻击 行为 具有 较 好 的 防护 能 力 。 而 软件 入 侵 防 护 产 品 虽 然 可 以 实 
现 更 复杂 的 协议 跟踪 检测 ,但 由 于 受 性 能 限制 ,很 难 在 高 带宽 环境 下 有 效 工 作 。 

网 络 人 侵 防护 系统 有 以 下 优点 : 

。 实时 阻 断 网 络 攻击 ， 

。 隐蔽 数据 检测 ,对 通信 双方 完全 透明 ; 

。 主干 检测 ,保证 数据 百分之百 的 捕获 ,避免 出 现 绕 过 攻击 的 情况 ; 

。 透明 模式 ,不 会 对 网 络 拓扑 造成 影响 。 

网 络 人 侵 防 护 系统 有 以 下 不 足 : 

。 分 析 效率 较 低 ,无 法 适应 高 速 网 络 环境 ; 

。 继承 了 入 侵 检测 的 误 报 缺 陷 , 易 造成 对 正常 网 络 通信 的 影响 ; 

。 为 了 尽 可 能 地 降低 误 报 率 ,造成 漏 报 情 况 较 多 ,只 能 对 能 够 准确 确认 的 攻击 进行 

处 理 ; 
。 无 法 检测 加 密 环境 数据 。 


1324 两 种 入 侵 检 测 系统 的 结合 运用 


基于 网 络 的 入 侵 检 测 系统 和 基于 主机 的 入 侵 检测 系统 都 有 各 自 的 优势 和 不 足 , 这 两 
种 方式 各 自 都 能 发 现 对 方 无 法 检测 到 的 一 些 网 络 人 侵 行为 ,如 果 同 时 使 用 互相 弥补 不 足 ， 
会 起 到 良好 的 检测 效果 。 

例如 ,从 某 个 重要 服务 器 的 键盘 发 出 的 攻击 并 不 经 过 网 络 , 因 此 就 无 法 通过 基于 网 络 
的 人 侵 检 测 系统 检测 到 ,只 能 使 用 基于 主机 的 入侵 检测 系统 来 检测 。 基 于 网 络 的 入 侵 检 
测 系 统 通过 检查 所 有 的 数据 包头 来 进行 检测 ,而 基于 主机 的 和 人 侵 检测 系统 并 不 查看 包头 。 
基于 网 络 的 入侵 检测 系统 可 以 研究 负载 的 内 容 , 查 找 特定 攻击 中 使 用 的 命令 或 语法 ,这 类 
攻击 可 以 被 实时 检查 包 序列 的 人 侵 检测 系统 迅速 识别 ;而 基于 主机 的 和 人 侵 检测 系统 无 法 
看 到 负载 ,因此 也 无 法 识别 嵌入 式 的 负载 攻击 。 又 如 ,基于 主机 的 入 侵 检测 系统 使 用 系统 
日 志 作为 检测 依据 ,因此 它们 在 确定 攻击 是 否 已 经 取得 成 功 时 ,与 基于 网 络 的 检测 系统 相 
比 具 有 更 大 的 准确 性 。 在 这 方面 ,基于 主机 的 入 侵 检 测 系统 对 基于 网 络 的 入 侵 检测 系统 
是 一 个 很 好 的 补充 ,可 以 使 用 基于 网 络 的 入 侵 检测 系统 提供 早期 报警 ,使 用 基于 主机 的 人 
侵 检 测 系统 来 验证 攻击 是 否 取得 成 功 。 


1325 分 布 式 的 入 侵 检 测 系统 


目前 的 入 侵 检 测 系统 一 般 采用 集中 式 模式 ,在 被 保护 网 络 的 各 个 网 段 中 分 别 放置 检 

测 器 进行 数据 包 搜集 和 分 析 , 各 个 检测 器 将 检测 信息 传送 给 中 央 控 制 台 进行 统一 处 理 , 中 

央 控制 台 还 会 向 各 个 检测 器 发 送 命令 。 这 种 模式 的 缺点 是 难以 及 时 对 在 复杂 网 络 上 发 起 

的 分 布 式 攻击 进行 数据 分 析 以 至 于 无 法 完成 检测 任务 ,入 侵 检测 系统 本 身 所 在 的 主机 还 

可 能 面临 因为 负荷 过 重 而 崩溃 的 危险 。 此 外 入 侵 检测 系统 一 般 采 用 单一 的 检测 分 析 方 
259 


ee 第 3 篇 网 络 安全 技术 PE 


法 , 随 着 网 络 攻击 方法 的 日 趋 复杂 化 ,单一 的 基于 异常 检测 或 者 误 用 检测 的 分 析 方法 所 获 
得 的 效果 很 难 令 人 满意 。 此 外 ,在 大 型 网 络 中 ,网 络 的 不 同 部 分 可 能 分 别 采 用 不 同 的 人 侵 
检测 系统 ,各 个 人 侵 检测 系统 之 间 通 常 不 能 互相 协作 ,不 仅 不 利于 检测 工作 ,甚至 还 会 产 
生 新 的 安全 漏洞 。 

对 于 上 述 问题 ,采用 分 布 式 结构 的 人 侵 检 测 模式 是 解决 方案 之 一 ,也 是 目前 入侵 检测 
技术 的 一 个 研究 方向 。 这 种 模式 的 系统 采用 分 布 式 智 能 代理 的 结构 ,由 一 个 或 者 多 个 中 
央 智 能 代理 和 大 量 分 布 在 网 络 各 处 的 本 地 代理 组 成 。 其 中 本 地 代理 负责 处 理 本 地 事件 ， 
中 央 代 理 负责 统一 调控 各 个 本 地 代理 的 工作 以 及 从 整体 上 完成 对 网 络 事件 进行 综合 分 析 
的 工作 。 检 测 工作 通过 全 部 代理 互相 协作 共同 完成 。 


133 入侵 检测 系统 的 分 析 方 式 


入 侵 检 测 系 统 的 检测 分 析 技 术 主 要 分 为 两 大 类 : 异常 检测 和 误 用 检测 。 下 面 将 对 它 
们 的 原理 进行 说 明 ,同时 列举 相关 的 代表 性 技术 并 对 技术 的 优 缺 点 进行 评价 。 


1331 异常 检测 技术 一 一 基于 行为 的 检测 


1 异常 检测 技术 的 基本 原理 

异常 检测 技术 (anomaly detection) 也 称 为 基于 行为 的 检测 技术 ,是 指 根据 用 户 的 行 
为 和 系统 资源 的 使 用 状况 判断 是 否 存在 网 络 入 侵 。 

异常 检测 技术 首先 假设 网 络 攻击 行为 是 不 常见 的 或 是 异常 的 ,区 别 于 所 有 的 正常 行 
为 。 如 果 能 够 为 用 户 和 系统 的 所 有 正常 行为 总 结 活动 规律 并 建立 行为 模型 ,那么 入 侵 检 
测 系统 可 以 将 当前 捕获 到 的 网 络 行为 与 行为 模型 相对 比 , 若 人 侵 行 为 偏离 了 正常 的 行为 
轨迹 ,就 可 以 被 检测 出 来 。 

异常 检测 技术 先 定义 一 组 系统 正常 活动 的 阔 值 ,如 CPU 利用 率 、 内 存 利用 率 、 文 件 
校 验 和 等 ,这 类 数据 可 以 人 为 定义 ,也 可 以 通过 观察 系统 ,用 统计 的 办 法 得 出 ,然后 将 系统 
运行 时 的 数值 与 所 定义 的 “正常 ”情况 比较 ,得 出 是 否 有 被 攻击 的 迹象 。 这 种 检测 方式 的 
核心 在 于 如 何 分 析 系 统 运行 情况 。 

异常 检测 技术 给 系统 对 象 ( 如 用 户 、 文 件 、 目 录 和 设备 等 ) 创 建 一 个 统计 描述 ,统计 正 
常 使 用 时 的 一 些 测量 属性 (如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 )。 测 量 属性 的 平均 值 将 
用 来 与 网 络 、 系 统 的 行为 进行 比较 ,任何 观察 值 在 正常 值 范围 之 外 时 ,就 认为 有 入 侵 发 生 。 
例如 ,统计 分 析 可 能 标识 一 个 不 正常 行为 ,因为 它 发 现 一 个 在 晚 八 点 至 次 日 早 六 点 不 登录 
的 账户 却 在 凌晨 两 点 试图 登录 。 

具体 的 统计 分 析 方法 ,如 基于 专家 系统 的 .基于 模型 推理 的 和 基于 神经 网 络 的 分 析 方 
法 ,目前 正 处 于 研究 热点 和 迅速 发 展 之 中 。 

2 异常 检测 技术 的 评价 

异常 检测 技术 有 以 下 优点 : 

， 能够 检测 出 新 的 网 络 入 侵 方 法 的 攻击 ; 
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。 较 少 依赖 于 特定 的 主机 操作 系统 ; 

。 对 于 内 部 合法 用 户 的 越权 违法 行为 的 检测 能 力 较 强 。 
异常 检测 技术 有 以 下 不 足 : 

。 误 报 率 高 ; 

。 行为 模型 建立 困难 ; 

。 难以 对 入 侵 行为 进行 分 类 和 命名 。 


3 异常 检测 技术 分 类 

异常 检测 技术 的 核心 问题 是 建立 行为 模型 ,目前 主要 有 以 下 几 种 方法 。 

(1) 统计 分 析 异 常 检测 

统计 分 析 异 常 检测 方法 在 基于 异常 检测 技术 的 和 人 侵 检测 系统 中 使 用 最 为 广泛 。 首先 
要 对 系统 或 用 户 的 行为 按照 一 定 的 时 间 间 隔 进行 采样 ,样本 的 内 容 包 括 每 个 会 话 的 登录 、 
退出 情况 ,CPU 和 内 存 的 占用 情况 ,硬盘 等 存储 介质 的 使 用 情况 等 。 对 每 次 采集 到 的 样 
本 进行 计算 ,得 出 一 系列 的 参数 变量 来 对 这 些 行 为 进行 描述 ,从 而 产生 行为 轮廓 ,将 每 次 
采样 后 得 到 的 行为 轮廓 与 已 有 轮廓 进行 合并 ,最 终 得 到 系统 和 用 户 的 正常 行为 轮廓 。 和 人 
侵 检测 系统 通过 将 当前 采集 到 的 行为 轮廓 与 正常 行为 轮廓 相 比 较 , 来 检测 是 否 存在 网 络 
入 侵 行 为 。 在 早期 采用 的 算法 中 ,系统 计算 出 所 有 变量 的 平均 值 , 然 后 根据 平均 偏差 检测 
当前 行为 是 否 超 过 了 某 一 阅 值 ,这 样 的 模型 比较 粗糙 ,检测 精度 较 低 。 目 前 使 用 一 种 更 加 
复杂 的 模型 ,检测 系统 同时 计算 并 且 比 较 每 个 用 户 长 期 和 短期 的 活动 状态 ,而 状态 信息 随 
着 用 户 行为 的 变化 不 断 更 新 。 

也 可 以 采用 下 面 的 算法 计算 行为 的 异常 程度 。 

Mi ,Mi ,…,M, 表示 行为 轮廓 中 的 特征 变量 ,Si ,S: ,…',S, 分 别 表示 各 个 变量 的 异常 
性 测量 值 ,S; 的 值 越 大 就 表示 异常 性 越 大 。a; 表示 变量 M, 的 权重 值 。 将 各 个 异常 性 测 
量 值 的 平方 加 权 求 和 得 出 特征 值 

M 王 aiSi 十 azS 十 … 十 asS2 a>0, 1l1<i<n 

然后 选取 阔 值 ,例如 选择 标准 偏差 vc= YM/ 一 了 一 ye ,其 中 均值 取 1 二 M/n, 如 果 S 值 
超出 了 jy 土 do 的 范围 就 认为 异常 。 变量 Mi ,Ms,…,M, 之 间 通 常 不 是 完全 独立 的 ,还 需 
要 处 理 其 相关 性 ,此 外 ,采用 什么 方法 得 到 异常 性 测量 值 也 需要 认真 考虑 。 

统计 分 析 异 常 检测 方法 的 优势 在 于 所 应 用 的 技术 方法 在 统计 学 中 已 经 比较 成 熟 。 其 
不 足 在 于 异常 冰 值 难以 确定 , 阔 值 设置 得 偏 高 会 产生 过 多 的 误 检 , 偏 低 则 会 导致 漏 检 率 升 
高 ;而 且 对 事件 发 生 的 次 序 不 敏感 ,可 能 不 会 检测 出 由 先后 发 生 的 几 个 关联 事件 组 成 的 人 
侵 行为 。 此 外 ,对 行为 的 检测 结果 要 么 是 异常 的 ,要 么 是 正常 的 ,攻击 者 可 以 利用 这 个 弱 
点 躲避 入 侵 检测 系统 的 检测 。 

(2) 贝 叶 斯 推理 异常 检测 

贝 叶 斯 推理 异常 检测 是 根据 被 保护 系统 当前 各 种 行为 特征 的 测量 值 进行 推理 ,来 判 
断 是 否 有 网 络 人 侵 行 为 发 生 。 系 统 的 特征 包括 CPU 利用 率 、 磁 盘 1/O 活动 数量 .系统 中 
的 页 面 出 错 数量 等 ,分 别 用 异常 变量 A, ,A;,… ,A 表示 。 假 定 变量 A; 具有 两 个 值 ,1 表 
示 异 常 ,0 表示 正常 。I 表示 当前 系统 遭受 的 入 侵 攻 击 。 每 个 异常 变量 A; 的 异常 可 靠 性 
和 敏感 性 分 别 表示 为 P(A; 二 1| 中 和 P(A; 二 11?1)。 如 果 给 出 每 个 A; 的 值 , 则 可 以 由 贝 
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叶 斯 定理 得 出 工 的 可 信 值 : 
POIAi Az, , A) =P(I|A As,A)PCDVP(A ,As ,es A,) 

其 中 要 求 给 出 了 和 ?I 的 联合 率 分 布 。 又 假定 每 个 测量 值 A; 仅 与 工 相关 , 且 同 其 他 测量 
值 A; 无 关 ,i 隆 j, 则 有 : 

PlsAsraa, | D = I ,PO LD 

P(Ai,As,. ,As | ?7D = II ,P(A; | ?D 

从 而 得 到 : 
POI | AisAs ,es A)/POT | Ai,As ,A,) 
= PDII’/[PcDIL’PA; | ?D] 

这 样 就 可 以 根据 各 种 异常 测量 的 值 、 入 侵 的 先 验 概率 以 及 入 侵 发 生 时 测量 到 的 各 种 
异常 概率 计算 出 受到 入 侵 的 概率 。 必 须 对 各 个 A; 之 间 的 独立 性 进行 处 理 , 才 能 保证 检测 
的 准确 性 ,最 常用 的 一 种 方法 是 通过 相关 性 分 析 ,确定 各 异常 变量 之 间 的 入 侵 关 系 。 

(3) 模式 预测 异常 检测 

模式 预测 异常 检测 方法 考虑 了 事件 之 间 的 顺序 及 其 相互 联系 ,认为 事件 序列 都 遵循 
可 识别 的 模式 而 不 是 随机 的 ,例如 ,可 以 建立 和 利用 时 间 规则 来 识别 用 户 正常 行为 的 模式 
特征 ,通过 归纳 学 习 产生 这 些 规则 集 ,进行 不 断 的 修改 更 新 ,使 之 具有 较 高 的 预测 准确 性 
和 可 信和 度 。 如 果 规 则 在 大 部 分 情况 下 是 正确 的 ,并 且 能 够 成 功 地 运用 预测 所 观察 到 的 数 
据 , 规 则 就 具有 较 高 的 可 信 度 。 

使 用 模式 预测 异常 检测 方法 的 入 侵 检 测 系统 通过 对 用 户 的 行为 进行 观测 记录 ,归纳 
产生 出 一 套 规则 集 来 构成 用 户 正常 行为 的 轮廓 框架 。 入 侵 检测 系统 将 当前 捕获 到 的 事件 
序列 与 规则 相 匹配 ,如果 根据 该 规则 进行 预测 所 得 到 的 事件 与 随后 实际 观察 到 的 事件 明 
显 不 一 致 ,就 说 明 用 户 的 行为 是 异常 的 ,入 侵 检 测 系 统 据 此 检测 出 人 侵 行 为 。 

模式 预测 异常 检测 方法 的 优点 是 能 够 较 好 地 处 理 各 种 用 户 行为 ,集中 地 对 相关 的 安 
全 事件 进行 考察 。 缺 点 是 对 于 不 可 识别 的 行为 模式 会 引起 误 检 ,因为 不 可 识别 的 行为 模 
式 可 能 匹配 任何 规则 ,而 这 些 行为 显然 不 能 与 规则 的 推测 结果 相 一 致 

(4) 数据 采掘 异常 检测 

将 数据 采掘 技术 应 用 于 入 侵 检 测 是 因为 其 具有 处 理 大 量 数据 记录 的 能 力 。 网 络 流量 
审计 记录 的 数据 量 是 很 大 的 ,特别 是 在 网 络 中 主机 数量 较 多 以 及 网 速 较 快 的 情况 下 。 数 
据 采 所 异常 检测 技术 从 各 种 审计 数据 或 者 网 络 数据 流 中 提取 相关 的 知识 信息 ,这 些 知 识 
信息 是 蕴涵 在 数据 之 中 的 ,对 它们 进行 归纳 总 结 成 为 规则 模式 等 ,IDD 算法 是 所 采用 的 
算法 之 一 。 入 侵 检测 系统 使 用 这 些 知识 进行 网 络 入 侵 检测 。 数 据 采 掘 异常 检测 方法 的 优 
势 在 于 处 理 数据 的 能 力 , 缺 点 是 系统 整体 运行 效率 较 低 。 

(5) 机 器 学 习 异 常 检测 

机 器 学 习 异 常 检测 方法 通过 机 器 学 习 实现 人 侵 检测 ,将 异常 检测 问题 归结 为 对 离散 
数据 临时 序列 进行 学 习 来 获得 个 体 、 系 统 和 网 络 的 行为 特征 。 主 要 学 习 方 法 包括 原样 记 
录 、 监 督学 习 、 归 纳 学 习 、 类 比 学 习 等 。 此 外 还 有 基于 相似 度 的 实例 学 习 方 法 (IBL) ,该 方 
法 通过 新 的 序列 相似 度 计算 ,将 原始 数据 (例如 离散 事件 流 、 无 序 的 记录 等 ) 转 化 成 可 度量 
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的 空间 。 入 侵 检测 系统 使 用 IBL 学 习 技术 和 一 种 新 的 基于 序列 的 分 类 方法 发 现 异 常 类 
型 事件 ,以 此 检测 出 入 侵 行为 ,其 中 对 阔 值 的 选取 由 成 员 分 类 的 概率 决定 。 机 器 学 习 异 常 
检测 方法 的 检测 速度 快 , 且 误 报 率 低 。 此 方法 的 缺点 是 对 于 用 户 行为 发 生变 化 以 及 单独 
异常 检测 的 检测 效果 不 理想 。 


1332 误 用 检测 技术 一 一 基于 知识 的 检测 


1 误 用 检测 技术 入 侵 检 测 系统 的 基本 原理 

误 用 检测 技术 (misuse detection) 也 称 为 基于 知识 的 检测 技术 或 者 模式 匹配 检测 技 
术 。 它 的 前 提 是 假设 所 有 的 网 络 攻击 行为 和 方法 都 具有 一 定 的 模式 或 特征 ,如 果 把 以 往 
发 现 的 所 有 网 络 攻击 的 特征 总 结 出 来 并 建立 一 个 人 侵 信息 库 , 那 么 入 侵 检测 系统 可 以 将 
当前 捕获 到 的 网 络 行为 特征 与 人 侵 信 息 库 中 的 特征 信息 相 比较 ,如 果 匹 配 , 则 当前 行为 就 
被 认定 为 人 侵 行为 。 

误 用 检测 技术 首先 要 定义 违背 安全 策略 事件 的 特征 ,检测 主要 判别 所 搜集 到 的 数据 
特征 是 否 在 所 搜集 到 的 入 侵 模 式 库 中 出 现 。 这 种 方法 与 大 部 分 杀毒 软件 采用 的 特征 码 匹 
配 原理 类 似 。 

误 用 检测 就 是 将 搜集 到 的 信息 与 已 知 的 网 络 入 侵 和 系统 误 用 模式 数据 库 进行 比较 ， 
从 而 发 现 违背 安全 策略 的 行为 。 该 过 程 可 以 很 简单 (如 通过 字符 串 匹 配 以 寻找 一 个 简单 
的 条 目 或 指令 ) ,也 可 以 很 复杂 (如 利用 正规 的 数学 表达 式 来 表示 安全 状态 的 变化 ) 。 一 般 
来 讲 , 一 种 进攻 模式 可 以 用 一 个 过 程 ( 如 执行 一 条 指令 ) 或 一 个 输出 (如 获得 权限 ) 来 表示 。 


2 误 用 检测 技术 的 评价 

误 用 检测 技术 有 以 下 优点 : 

。 检测 准确 度 高 ; 

。 技术 相对 成 熟 ; 

。 便于 进行 系统 防护 。 

误 用 检测 技术 有 以 下 缺点 : 

"不 能 检测 出 新 的 入侵 行为 ; 

。 完全 依赖 于 入 侵 特 征 的 有 效 性 ; 
， 维护 特征 库 的 工作 量 巨大 ; 

。 难以 检测 来 自 内 部 用 户 的 攻击 。 


3 误 用 检测 技术 的 分 类 

误 用 检测 技术 主要 可 分 为 以 下 几 种 。 

(1) 专家 系统 误 用 检测 

专家 系统 误 用 检测 方法 首先 将 安全 专家 的 关于 网 络 人 侵 行 为 的 知识 表示 成 一 些 类 似 
If-Then 的 规则 ,并 以 这 些 规则 为 基础 建立 专家 知识 库 。 规 则 中 的 If 部 分 说 明 形 成 网 络 
入 侵 的 必需 条 件 ,Then 部 分 说 明 发 现 人 侵 后 要 实施 的 操作 。 入 侵 检测 系统 将 网 络 行为 的 
审计 数据 事件 进行 转换 ,成 为 包含 人 侵 警 告 程度 的 判断 事实 ,然后 通过 推理 引擎 进行 人 侵 
检测 , 当 If 中 的 条 件 全 部 满足 或 者 在 一 定 程度 上 满足 时 ,Then 中 的 动作 就 会 被 执行 。 

专家 系统 误 用 检测 需要 处 理 大 量 的 审计 数据 并 且 依赖 于 审计 追踪 的 次 序 , 在 目前 的 
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条 件 下 处 理 速 度 难以 保证 。 同 时 ,对 于 各 种 网 络 攻击 行为 知识 进行 规则 化 描述 的 精度 有 
待 提高 ,审计 数据 有 时 不 能 提供 足够 的 检测 所 需 的 信息 。 专 家 系统 只 能 检测 出 以 往 发 现 
过 的 和 人 侵 行为 ,要 检测 出 新 的 人 侵 , 必 须 及 时 添加 新 的 规则 ,维护 知识 库 的 工作 量 很 大 。 

(2) 特征 分 析 误 用 检测 

在 商业 化 产品 的 和 人 侵 检测 系统 中 ,特征 分 析 技 术 的 运用 较 多 。 特 征 分 析 误 用 检测 与 
专家 系统 误 用 检测 一 样 ,也 需要 搜集 关于 网 络 人 侵 行为 的 各 种 知识 。 专 家 系统 误 用 检测 
由 于 运行 效率 的 问题 ,还 没有 得 到 普遍 的 采用 ,而 特征 分 析 更 直接 地 使 用 各 种 人 侵 知 识 。 
特征 分 析 误 用 检测 将 入 侵 行为 表示 成 一 个 事件 序列 或 者 转换 成 某 种 可 以 直接 在 网 络 数据 
包 审 计 记 录 中 找到 的 数据 样板 ,而 不 进行 规则 转换 ,这 样 可 以 直接 从 审计 数据 中 提取 相应 
的 数据 与 之 匹配 ,因此 不 需要 处 理 大 量 的 数据 ,从 而 提高 了 运行 效率 。 

基于 特征 分 析 误 用 检测 技术 的 系统 也 必须 及 时 更 新 知识 库 ,而且 对 于 不 同 的 操作 系 
统 , 往 往 需要 建立 不 同 的 和 人 侵 知 识 记录 ,建立 和 维护 知识 库 的 工作 量 都 相当 大 。 

(3) 模型 推理 误 用 检测 

模型 推理 误 用 检测 方法 根据 网 络 入侵 行为 的 特征 建立 起 误 用 证 据 模 型 ,入 侵 检测 系 
统 根据 模型 中 的 入 侵 行 为 特征 进行 推理 ,判断 当前 的 用 户 行为 是 否 是 误 用 行为 。 模 型 误 
用 检测 方法 需要 建立 攻击 剧本 数据 库 .预警 器 和 规划 者 。 每 个 攻击 剧本 是 一 个 攻击 行为 
序列 ,入 侵 检测 系统 根据 攻击 剧本 的 子 集 来 推断 系统 当前 是 否 受 到 入 侵 。 根 据 当 前 的 活 
动 模型 ,预警 器 产生 下 一 步行 为 ,规划 者 负责 判断 所 假设 的 行为 如 何 反应 在 审计 追踪 数据 
上 ,以 及 如 何 将 假设 的 行为 与 系统 相关 的 审计 追踪 进行 匹配 。 各 个 攻击 剧本 的 证 据 会 逐 
浙 增 加 ,活动 模型 组 也 会 被 更 新 ,证 据 推 理 分 析 功 能 可 以 更 新 活动 模型 列表 中 的 各 攻击 剧 
本 出 现 的 概率 ,根据 攻击 剧本 的 概率 来 推断 检测 入 侵 。 这 种 方法 的 优势 在 于 有 数学 中 的 
未 确定 推理 理论 作为 基础 ,可 以 用 模型 证 据 来 推理 专家 系统 不 容易 处 理 的 未 确定 的 中 间 
结论 ,而 且 还 能 够 减少 审计 数据 量 ; 不 足 之 处 是 增加 了 创建 入 侵 检 测 模型 的 系统 开销 。 此 
外 ,这 种 方法 也 只 能 检测 出 已 知 的 入 侵 行为 ,需要 对 数据 库 进行 不 断 地 扩充 。 

(4) 条 件 概率 误 用 检测 

条 件 概 率 误 用 检测 方法 将 网 络 人 侵 方式 看 作 一 个 事件 序列 ,根据 所 观测 到 的 各 种 网 
络 事件 的 发 生 情 况 来 推测 人 侵 行 为 的 发 生 。 条 件 概率 误 用 检测 方法 应 用 贝 叶 斯 定理 对 和 人 
侵 进行 推理 检测 ,原理 如 下 : 

事件 序列 表示 为 ES, 先 验 概率 为 P(Intrusion) ,后 验 概率 为 P(ES|Intrusion) ,事件 
出 现 的 概率 为 PCES), 则 

PlIntrusion | ES) = P(ES | Intrusion)P(Intrusion)/P(ES) 

其 中 , 先 验 概率 P(Intrusion) 由 网 络 安 全 专家 给 出 ,对 以 往 网 络 入 侵 数据 进行 统计 处 

理 可 以 得 出 后 验 概论 P(ES|Intrusion) 和 P(ES|?Intrusion) ,于 是 可 以 计算 出 : 
P(ES) = (P(ES | Intrusion) — P(ES | ?Intrusion))P(Intrusion) 
+ P(ES | ?Intrusion) 

因此 可 以 通过 对 事件 序列 的 观测 推算 出 P(ES|Intrusion|ES)。 条 件 概 率 误 用 检测 
的 缺点 是 先 验 概率 难以 给 出 ,而且 难 以 确定 事件 的 独立 性 。 

(5) 键盘 监控 误 用 检测 

键盘 监控 误 用 检测 方法 假设 每 种 网 络 人 侵 行为 都 具有 特定 的 击 键 序列 模式 ,入侵 检 
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测 系统 监视 各 个 用 户 的 击 键 模式 ,并 将 该 模式 与 已 有 的 人 侵 击 键 模式 相 匹配 ,如 果 匹 配 成 
功 就 认为 是 网 络 人 侵 行 为 。 这 种 方法 的 不 足 之 处 是 如 果 操 作 系统 没有 提供 相应 的 支持 ， 
则 缺少 可 靠 的 方法 来 捕获 用 户 的 击 键 行为 ,可 能 存在 多 种 击 键 方式 表示 同一 种 攻击 的 情 
况 , 而 且 不 能 对 击 键 进行 语义 分 析 , 攻 击 者 使 用 命令 的 各 种 别名 就 很 容易 欺骗 这 种 技术 。 
此 外 ,因为 这 种 技术 仅 分 析 击 键 行为 ,所 以 对 于 那些 利用 程序 进行 自动 攻击 的 行为 无 法 
检测 。 


1333 异常 检测 技术 和 误 用 检测 技术 的 比较 


无 论 哪 种 人 侵 检 测 技术 都 需要 搜集 总 结 有 关 网 络 人 侵 行为 的 各 种 知识 ,或 者 系统 及 
其 用 户 的 各 种 行为 的 知识 。 基 于 异常 检测 技术 的 入 侵 检 测 系统 如 果 想 检测 到 所 有 的 网 络 
入 侵 行为 ,必须 掌握 被 保护 系统 已 知行 为 和 预期 行为 的 所 有 信息 ,这 一 点 实际 上 无 法 做 
到 ,因此 入 侵 检 测 系统 必须 不 断 地 学 习 并 更 新 已 有 的 行为 轮廓 。 对 于 基于 误 用 检测 技术 
的 人 侵 检 测 系统 而 言 ,只 有 拥有 所 有 可 能 的 入 侵 行为 的 先 验 知识 ,而 且 必 须 能 识别 各 种 入 
侵 行为 的 过 程 细节 或 者 每 种 人 侵 行为 的 特征 模式 ,才能 检测 到 所 有 的 入 侵 行为 ,而 这 种 情 
况 也 是 不 存在 的 ,该 类 入 侵 检测 系统 只 能 检测 出 已 有 的 入 侵 模式 ,必须 不 断 地 对 新 出 现 的 
入 侵 行为 进行 总 结 和 归纳 。 

在 人 侵 检 测 系统 的 配置 方面 ,基于 异常 检测 技术 的 入 侵 检 测 系统 通常 比 基 于 误 用 检 
测 技术 的 入 侵 检测 系统 所 做 的 工作 要 少 很 多 ,因为 异常 检测 需要 对 系统 和 用 户 的 行为 轮 
廓 进行 不 断 的 学 习 更 新 ,需要 大 量 的 数据 分 析 处 理工 作 , 要 求 管理 员 能 够 总 结 出 被 保护 系 
统 的 所 有 正常 行为 状态 ,对 系统 的 已 知 和 期 望 行为 进行 全 面 的 分 析 , 因 此 配置 难度 相对 较 
大 。 但 是 ,有 些 基 于 误 用 检测 技术 的 入 侵 检测 系统 允许 管理 员 对 入 侵 特征 数据 库 进行 修 
改 , 甚 至 允许 管理 员 自己 根据 所 发 现 的 攻击 行为 创建 新 的 网 络 入 侵 特 征 规 则 记录 ,这 种 入 
侵 检 测 系统 在 系统 配置 方面 的 工作 量 会 显著 增加 。 

基于 异常 检测 技术 的 入 侵 检测 系统 所 输出 的 检测 结果 ,通常 是 在 对 实际 行为 与 行为 
轮廓 进行 异常 分 析 等 相关 处 理 后 得 出 的 ,这 类 入 侵 检 测 系 统 的 检测 报告 通常 会 比 基 于 误 
用 检测 技术 的 入 侵 检测 系统 具有 更 多 的 数据 量 , 因 为 任何 超出 行为 轮廓 范围 的 事件 都 将 
被 检测 出 来 并 写 和 人 报告 中 。 而 大 多 数 基 于 误 用 检测 技术 的 入 侵 检 测 系统 ,是 将 当前 行为 
模式 与 已 有 行为 模式 进行 匹配 后 产生 检测 结论 ,其 输出 内 容 是 列举 出 入 侵 行为 的 类 型 和 
名 称 ,以 及 提供 相应 的 处 理 建议 。 


1334 其 他 入 侵 检 测 技术 的 研究 


入 侵 检测 系统 的 研究 方向 之 一 是 将 各 个 领域 的 研究 成 果 应 用 于 入 侵 检测 中 ,以 形成 
更 高 效 ,更 为 智能 化 的 检测 算法 ,提高 人 侵 检测 的 应 用 价值 。 目 前 研究 的 重点 有 遗传 算法 
和 免疫 技术 等 。 从 提高 人 侵 检测 分 析 效率 角度 ,针对 高 层 协议 的 状态 分 析 检测 技术 也 是 
研究 的 重点 。 
1 遗传 算法 
遗传 算法 的 基本 原理 是 首先 定义 一 组 入 侵 检测 指令 集 , 这 些 指令 用 于 检测 出 正常 或 
者 异常 的 行为 。 指 令 中 包含 若干 字符 串 .所 有 的 指令 在 定义 初期 的 检测 能 力 都 很 有 限 ,入 
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侵 检 测 系统 对 这 些 指令 逐步 地 进行 训练 ,促使 指令 中 的 字符 串 片 段 发 生 重组 ,以 生成 新 的 
字符 串 指令 。 再 从 新 的 指令 中 经 过 测试 筛选 出 检测 能 力 最 强 的 部 分 指令 ,对 它们 进行 下 
一 轮 的 训练 。 如 此 反复 ,使 检测 指令 的 检测 能 力 不 断 提高 ,这 个 过 程 如 同 生 物 学 中 的 遗传 
进化 过 程 。 直 到 指令 的 检测 能 力 不 会 有 明显 的 提高 ,训练 过 程 即 可 结束 ,此 时 这 些 指令 已 
经 具有 一 定 的 检测 能 力 , 入 侵 检测 系统 可 以 使 用 它们 进行 网 络 人 侵 检测 。 目 前 对 遗传 算 
法 的 研究 还 处 于 试验 阶段 。 


2 免疫 技术 

免疫 技术 应 用 了 生物 医学 中 的 免疫 系统 原理 。 处 于 网 络 环境 中 的 主机 之 所 以 受到 入 
全 ; 尖 国 为 二 不 筑 本 各 凡凡 所 医生 的 应 用 程序 征 在 营 各 种 胸 和 性 辐 宁 ;网 尝 可 机 者 正 汪 
利用 这 些 漏 洞 来 侵入 到 主机 系统 中 的 ;在 生物 系统 中 同样 存在 各 种 脆弱 性 因素 ,因此 会 
到 病毒 ,病菌 的 攻击 。 而 生物 体 拥有 免疫 系统 来 负责 检测 和 抵御 入 侵 , 免 疫 机 制 包括 特异 
性 免疫 和 非特 异性 免疫 。 特 异性 免疫 针对 于 特定 的 某 种 病毒 ,非特 异性 免疫 可 用 于 检测 
和 抵制 以 前 从 未 体验 过 的 人 侵 类 型 。 入 侵 检 测 免疫 技术 受 免疫 系统 原理 的 启发 ,通过 学 
习 分 析 已 有 行为 的 样本 来 获得 识别 不 符合 常规 行为 的 能 力 。 


3 基于 应 用 协议 状态 的 跟踪 型 入 侵 检测 技术 

目前 入 侵 检测 主要 根据 协议 内 容 , 进 行 匹配 性 检测 。 从 状态 跟踪 上 还 仅 限 于 tcp/ip 
层 数 据 包 状态 的 跟踪 。 而 对 于 应 用 协议 来 说 ,高 层 应 用 协议 也 具有 大 量 的 不 同 状态 ,为 了 
检测 到 只 会 在 某 种 协议 状态 下 才 存 在 的 攻击 而 去 将 攻击 特征 匹配 所 有 状态 下 的 数据 显然 
是 浪费 的 ,同时 也 降低 了 准确 性 和 效率 。 因 此 ,跟踪 型 入 侵 检测 技术 实现 对 高 层 应 用 协议 
的 状态 跟踪 ,建立 高 层 应 用 协议 状态 机 。 跟 踪 协 议 状 态 的 变化 ,对 每 个 状态 下 的 数据 包 仅 
分 析 该 状态 下 存在 的 和 人 侵 行 为 。 这 样 的 分 析 方法 在 确保 不 会 出 现 人 侵 检 测 欺骗 行为 的 同 
时 ,还 可 以 解决 针对 入 侵 检测 拒绝 服务 攻击 造成 的 海量 报警 问题 。 分 状态 的 攻击 特征 匹 
配 也 降低 了 单个 数据 的 分 析 时 间 ,提高 了 分 析 效 率 , 提 高 了 分 析 带 宽 。 


134 ”入侵 检测 系统 的 设置 


网 络 安全 需要 各 个 安全 设备 的 协同 工作 和 正确 的 设置 ,因此 ,入 侵 检 测 系统 在 设置 时 
需要 对 整个 网 络 有 一 个 全 面 的 了 解 , 保 证 自身 环境 的 正确 性 和 安全 性 。 网 络 安全 的 实际 
需求 对 于 入 侵 检 测 的 工作 方式 和 检测 位 置 都 有 十 分 重要 的 影响 ,只 有 在 了 解 和 掌握 这 些 
实际 需求 的 情况 下 ,才能 正确 地 设计 和 人 侵 检 测 系统 的 网 络 拓扑 ,并 对 入 侵 检 测 系统 进行 正 
确 的 配置 。 

入 侵 检测 系统 是 网 络 安全 防御 系统 的 重要 组 成 部 分 。 入 侵 检 测 系统 的 设置 影响 着 入 
侵 检 测 系统 在 整个 网 络 安全 防御 体系 中 的 地 位 和 重要 程度 。 目 前 大 部 分 的 入 侵 检测 技术 
都 需要 对 网 络 数据 流 进行 大 量 的 分 析 运 算 ,在 高 速 网 络 中 ,一 个 不 经 过 配置 的 入 侵 检 测 设 
备 ,在 不 进行 筛选 和 过 滤 的 情况 下 ,无 法 很 好 地 完成 对 受 保护 网 络 的 有 效 检测 。 

由 于 入 侵 检 测 系统 位 于 网 络 体系 结构 中 的 高 层 部 分 ,因此 ,高 层 应 用 的 多 样 性 也 就 导 
致 了 入 侵 检测 系统 分 析 的 复杂 性 和 对 计算 资源 的 高 需求 。 如 何 根据 受 保护 网 络 的 拓扑 结 
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构 和 运行 情况 对 入 侵 检 测 设备 进行 合理 的 优化 配置 ,是 保证 人 侵 检测 系统 有 效 运行 的 
入 侵 检测 系统 的 设置 主要 分 为 以 下 几 个 基本 的 步骤 : 
@ 确定 入 侵 检 测 需求 ; 
@ 设计 入 侵 检测 系统 在 网 络 中 的 拓扑 位 置 ; 
@ 配置 人 侵 检测 系统 ， 
@ 入 侵 检测 系统 磨合 ; 
@ 入 侵 检测 系统 的 使 用 及 自 调节 。 
这 些 步 又 的 操作 流程 如 图 13-2 所 示 。 


根据 设计 拓扑 改 


根据 运行 结果 
调整 相关 参数 


5. 使 用 ~ 


图 13-2 ”入侵 检测 系统 设置 流程 图 


入 侵 检测 系统 的 设置 需要 经 过 多 次 的 反复 磨合 ,才能 够 达到 与 本 保护 网 络 有 效 结合 
的 目的 。 在 图 13-2 中 可 以 看 到 ,在 设置 的 过 程 中 要 进行 多 次 的 回溯 ,而 在 这 几 次 回溯 中 ， 
第 3.4 步 的 回溯 过 程 会 重复 多 次 ,通过 不 断 地 调整 人 侵 检测 系统 的 检测 配置 ,将 误 报 警 率 
和 漏 报警 率 降 到 最 低 ,使 得 人 侵 检 测 系统 能 够 在 最 佳 状态 下 进行 检测 分 析 。 而 在 使 用 中 ， 
随 着 网 络 整体 结构 的 改变 (包括 增加 新 的 应 用 或 服务 器 、 检 测 方式 更 新 等 ), 入 侵 检测 系统 
的 设置 也 要 相应 地 进行 修改 ,以 保证 能 够 适应 新 的 变化 。 

通过 以 上 的 设置 步骤 ,入 侵 检测 系统 才能 够 很 好 地 与 被 保护 网 络 相 结合 ,实现 对 网 络 
的 有 效 监控 和 分 析 。 


135 入侵 检测 系统 的 部 署 


入 侵 检测 系统 有 不 同 的 部 署 方式 和 特点 。 根 据 所 掌握 的 网 络 检 测 和 安全 需求 ,选取 

各 种 类 型 的 人 侵 检 测 系统 。 将 多 种 人 侵 检测 系统 按照 预定 的 计划 进行 部 署 ,确保 每 个 人 
侵 检 测 系统 都 能 够 在 相应 部 署 点 上 发 挥 作 用 ,共同 防护 ,保障 网 络 的 安全 运行 。 

部 署 工 作 包括 对 网 络 人 侵 检测 和 主机 入 侵 检 测 等 类 型 入 侵 检测 系统 的 部 署 规划 。 同 
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时 ,根据 主动 防御 网 络 的 需求 ,还 需要 对 入 侵 检测 系统 的 报警 方式 进行 部 署 和 规划 。 
1351 基于 网 络 入 侵 检 测 系 统 的 部 署 


基于 网 络 的 入 侵 检测 系统 可 以 在 网 络 的 多 个 位 置 进行 部 署 。 这 里 的 部 署 主要 指 对 网 
络 入 侵 检测 器 的 部 署 。 根 据 检测 器 部 署 位 置 的 不 同 ,入 侵 检测 系统 具有 不 同 的 工作 特点 。 
用 户 需 要 根据 自己 的 网 络 环境 以 及 安全 需求 进行 网 络 部 署 ,以 达到 预定 的 网 络 安全 需求 。 
总 体 来 说 ,入 侵 检测 的 部 署 点 可 以 划分 为 4 个 位 置 DDMZ 区 ; 加 外 网 人口， 加 内 网 主 
干 ; @ 关 键 子 网 。 如 图 13-3 所 示 。 


四 内 网 主干 
LE 


外 部 网 络 


入 侵 检 测 器 三 三 
关键 子 网 @@ 关 键 子 网 入 侵 检测 器 
@ 外 网 入 口 
图 13-3 入 侵 检 测 系统 部 署 位 置 图 
1. DW 区 


DMZ 区 部 署 点 在 DMZ 区 的 总 口上 ,这 是 入 侵 检 测 器 最 常见 的 部 署 位置 。 在 这 里 入 
侵 检测 器 可 以 检测 到 所 有 针对 用 户 向 外 提供 服务 的 服务 器 进行 攻击 的 行为 。 对 于 用 户 来 
说 ,防止 对 外 服务 的 服务 器 受到 攻击 是 最 为 重要 的 。 由 于 DMZ 区 中 的 各 个 服务 器 提供 
的 服务 有 限 ,所 以 针对 这 些 对 外 提供 的 服务 进行 人 侵 检 测 ,可 以 使 人 侵 检 测 器 发 挥 最 大 的 
优势 ,对 进出 的 网 络 数据 进行 分 析 。 由 于 DMZ 区 中 的 服务 器 是 外 网 可 见 的 ,因此 ,在 这 
里 的 入 侵 检测 也 是 最 为 需要 的 。 
在 该 部 署 点 进行 人 侵 检测 有 以 下 优点 : 
。 检测 来 自 外 部 的 攻击 ,这些 攻击 已 经 渗入 过 第 一 层 防御 体系 ; 
。 可 以 容易 地 检测 网 络 防火 墙 的 性 能 并 找到 配置 策略 中 的 问题 ; 
。 DMZ 区 通常 放置 的 是 对 内 外 提供 服务 的 重要 的 服务 设备 ,因此 ,所 检测 的 对 象 集 
中 于 关键 的 服务 设备 ; 
， 即使 进入 的 攻击 行为 不 可 识别 ,入 侵 检 测 系统 经 过 正确 的 配置 也 可 以 从 被 攻击 主 
机 的 反馈 中 获得 受到 攻击 的 信息 。 
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2 外 网 入 口 

外 网 人 口 部 署 点 位 于 防火 墙 之 前 ,入 侵 检测 器 在 这 个 部 署 点 可 以 检测 所 有 进出 防火 
墙 外 网 口 的 数据 。 在 这 个 位 置 上 ,入 侵 检测 器 可 以 检测 到 所 有 来 自 外 部 网 络 的 可 能 的 攻 
击 行为 并 进行 记录 ,这 些 攻击 包括 对 内 部 服务 器 的 攻击 、 对 防火 墙 本 身 的 攻击 以 及 内 网 机 
器 不 正常 的 数据 通信 行为 。 

由 于 该 部 署 点 在 防火 墙 之 前 ,因此 入侵 检测 器 将 处 理 所 有 的 进出 数据 。 这 种 方式 虽 
然 对 整体 和 人 侵 行 为 记录 有 帮助 ,但 由 于 入 侵 检测 器 本 身 性 能 上 的 局 限 ,该 部 署 点 的 人 侵 检 
测 器 目前 的 效果 并 不 理想 ,同时 对 于 进行 NAT 的 内 部 网 来 说 ,入 侵 检测 器 不 能 定位 攻击 
的 源 或 目的 地 址 ,系统 管理 员 在 处 理 攻击 行为 上 存在 一 定 的 难度 。 

在 该 部 署 点 进行 人 侵 检测 有 以 下 优点 : 

。 可 以 对 针对 目标 网 络 的 攻击 进行 计数 ,并 记录 最 为 原始 的 攻击 数据 包 ; 

[以 记录 针对 目标 网 络 的 攻击 类 型 。 


3 内 网 主干 

内 网 主干 部 署 点 是 最 常用 的 部 署 位 置 ,在 这 里 入 侵 检测 器 主要 检测 内 网 流出 和 经 过 
防火 墙 过 滤 后 流入 内 网 的 网 络 数据 。 在 这 个 位 置 , 入 侵 检测 器 可 以 检测 所 有 通过 防火 墙 
进入 的 攻击 以 及 内 部 网 向 外 部 的 不 正常 操作 ,并 且 可 以 准确 地 定位 攻击 的 源 和 目的 ,方便 
系统 管理 员 进行 针对 性 的 网 络 管理 。 

由 于 防火 墙 的 过 滤 作 用 ,防火墙 已 经 根据 规则 要 求 抛弃 了 大 量 的 非法 数据 包 。 这 样 
就 降低 了 通过 入 侵 检测 器 的 数据 流量 ,使 得 入 侵 检测 器 能 够 更 有 效 地 工作 。 当 然 , 由 于 和 
侵 检测 器 在 防火 墙 的 内 部 ,防火 墙 已 经 根据 规则 要 求 阻 断 了 部 分 攻击 ,所 以 人 侵 检测 器 并 
不 能 记录 下 所 有 可 能 的 入 侵 行为 。 

在 该 部 署 点 进行 人 侵 检 测 有 以 下 优点 : 

。 检测 大 量 的 网 络 通信 提高 了 检测 攻击 的 识别 可 能 ; 

。 检 测 内 网 可 信用 户 的 越权 行为 

。 实 现 对 内 部 网 络 信息 的 检测 。 


4 关键 子 网 

在 内 部 网 中 ,总 有 一 些 子 网 因为 存在 关键 性 数据 和 服务 ,需要 更 严格 的 管理 ,比如 资 
产 管理 子 网 、 财 务 子 网 、 员 工 档 案子 网 等 ,这 些 子 网 是 整个 网 络 系 统 中 的 关键 子 网 。 通 过 
对 这 些 子 网 进行 安全 检测 ,可 以 检测 到 来 自 内 部 以 及 外 部 的 所 有 不 正常 的 网 络 行为 ,这 样 
可 以 有 效 地 保护 关键 的 网 络 不 会 被 外 部 或 没有 权限 的 内 部 用 户 侵入 ,造成 关键 数据 泄露 
或 丢失 。 由 于 关键 子 网 位 于 内 网 的 内 部 ,因此 流量 相对 要 小 一 些 , 可 以 保证 入 侵 检 测 器 的 
有 效 检测 。 

在 该 部 署 点 进行 人 侵 检测 具有 以 下 优点 : 

。 集中 资源 用 于 检测 针对 关键 系统 和 资源 的 来 自 企 业内 外 部 的 攻击 ; 

。 将 有 限 的 资源 进行 有 效 部 署 ,获取 最 高 的 使 用 价值 。 


| 总 
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1352 基于 主机 入 侵 检 测 系 统 的 部 署 


在 基于 网 络 的 人 侵 检测 系统 部 署 并 配置 完成 后 ,基于 主机 的 入 侵 检测 系统 的 部 署 可 
以 给 系统 提供 高 级 别 的 保护 。 但 是 ,将 基于 主机 的 人 侵 检测 系统 安装 在 企业 中 的 每 一 个 
主机 上 是 一 种 相当 大 的 时 间 和 资金 的 浪费 ,同时 每 一 台 主 机 都 需要 根据 自身 的 情况 进行 
特别 的 安装 和 设置 ,相关 的 日 志和 升级 维护 是 巨大 的 。 
因此 ,基于 主机 的 入侵 检测 系统 主要 安装 在 关键 主机 上 ,这 样 可 以 减少 规划 部 署 的 花 
费 , 使 管理 的 精力 集中 在 最 重要 最 需要 保护 的 主机 上 。 同 时 ,为 了 便于 对 基于 主机 的 人 侵 
检测 系统 的 检测 结果 进行 及 时 检查 ,需要 对 系统 产生 的 日 志 进 行 集中 。 通 过 进行 集中 的 
分 析 、 整 理 和 显示 ,可 以 大 大 减少 对 网 络 安 全 系统 日 常 维护 的 复杂 性 和 难度 。 由 于 基于 主 
机 的 入 侵 检测 系统 本 身 需 要 占用 服务 器 的 计算 和 存储 资源 ,因此 ,要 根据 服务 器 本 身 的 空 
闲 负载 能 力 选 取 不 同类 型 的 人 侵 检测 系统 并 进行 专门 的 配置 。 如 对 于 高 负载 的 网 络 服务 
器 ,为 了 不 影响 网 络 服务 的 能 力 .需要 针对 所 提供 的 服务 进行 专门 的 配置 ,选择 与 所 提供 
服务 相关 的 策略 进行 加 载 。 对 于 负载 过 大 的 服务 器 ,可 以 选择 非 实时 的 日 志 分 析 类 型 人 
侵 检测 器 ,通过 二 次 审计 对 服务 器 状态 进行 检测 。 


1353 报警 策略 


入 侵 检 测 系统 在 检测 到 入 侵 行 为 的 时 候 , 需 要 报警 并 进行 相应 的 反应 。 如 何 报警 和 
选取 什么 样 的 报警 ,需要 根据 整个 网 络 的 环境 和 安全 的 需求 进行 确定 。 

网 络 安全 需求 不 同 , 入 侵 检 测报 警 也 就 存在 不 同 的 方式 。 如 对 于 一 般 性 服务 的 企业 ， 
报警 主要 集中 在 已 知 的 有 威胁 的 攻击 行为 上 ;关键 性 服务 企业 则 需要 将 尽 可 能 多 的 报警 
进行 记录 并 对 部 分 认定 的 报警 进行 实时 的 反馈 。 不 同 的 报警 方式 对 网 络 相关 的 设备 有 着 
不 同 的 要 求 。 由 于 报警 的 形式 很 多 ,大 部 分 都 需要 其 他 网 络 设备 和 服务 的 协助 ,因此 只 有 
保证 相关 的 设备 和 服务 可 以 和 入 侵 检测 系统 正确 地 通信 , 才 可 以 保证 报警 信息 的 及 时 送 
达 。 这 就 要 求人 侵 检测 系统 存在 与 其 他 设备 互动 的 接口 。 通 常 这 个 接口 是 安全 防御 系统 
中 的 关键 设备 ,因此 ,需要 保证 这 个 互动 的 接口 与 目标 网 络 物理 隔绝 ,以 防止 人 侵 检 测 系 
统 本 身受 到 攻击 和 检测 受到 不 必要 的 干扰 。 


136 ”入侵 检测 系统 的 优点 与 局 限 性 


入 侵 检测 系统 是 企业 安全 防御 系统 中 的 重要 部 件 ,但 入 侵 检测 系统 并 不 是 万 能 的 。 
入侵 检测 对 于 部 分 事件 可 以 处 理 得 很 好 .但 对 于 另 一 些 情况 则 无 能 为 力 。 只 有 充分 了 解 
入 侵 检测 系统 的 优点 和 局 限 性 ,才能 对 入 侵 检测 系统 有 一 个 准确 的 定位 ,以 便 将 入 侵 检测 
系统 有 效 地 应 用 在 安全 防御 系统 中 ,最 大 限度 地 发 挥 它 的 安全 防御 功能 。 


1361 入 侵 检 测 系统 的 优点 


入 侵 检 测 系统 作为 一 个 迅速 崛起 并 受到 广泛 承认 的 安全 组 件 , 有 着 很 多 方面 的 安全 
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优势 : 
可 以 检测 和 分 析 系 统 事件 以 及 用 户 的 行为 ; 

可 以 测试 系统 设置 的 安全 状态 ; 

"以 系统 的 安全 状态 为 基础 ,跟踪 任何 对 系统 安全 的 修改 操作 ; 

。 通过 模式 识别 等 技术 从 通信 行为 中 检测 出 已 知 的 攻击 行为 ; 

。 可 以 对 网 络 通信 行为 进行 统计 ,并 进行 检测 分 析 ; 

。 管理 操作 系统 认证 和 日 志 机 制 并 对 产生 的 数据 进行 分 析 处 理 ; 
。 在 检测 到 攻击 的 时 候 ,通过 适当 的 方式 进行 适当 的 报警 处 理 ; 

。 通过 对 分 析 引 擎 的 配置 对 网 络 的 安全 进行 评估 和 监督 ; 

。 允许 非 安 全 领域 的 管理 人 员 对 重要 的 安全 事件 进行 有 效 的 处 理 。 


1362 入 侵 检 测 系统 的 局 限 性 


入 侵 检测 系统 只 能 对 网 络 行为 进行 安全 审计 ,从 入 侵 检测 系统 的 定位 可 以 看 出 ,入 侵 
检测 系统 存在 以 下 缺陷 。 

(1) 入 侵 检测 系统 无 法 弥补 安全 防御 系统 中 的 安全 缺陷 和 漏洞 。 这 些 安全 缺陷 和 漏 
洞 包括 其 他 安全 设备 的 错误 配置 造成 的 安全 漏洞 ,以 及 安全 设备 本 身 的 实现 造成 的 安全 
缺陷。 入 侵 检测 系统 可 以 通过 审计 报警 对 这 些 可 能 的 安全 漏洞 进行 揭示 和 定位 ,但 却 不 
能 主动 对 这 些 漏洞 进行 弥补 ,而 这 些 报警 信息 只 有 通过 人 为 的 补救 处 理 才 具有 意义 。 

(2) 对 于 高 负载 的 网 络 或 主机 ,很 难 实现 对 网 络 人 侵 的 实时 检测 ,报警 和 迅速 地 进行 
攻击 响应 。 同 时 ,对 于 高 负载 的 环境 ,如 果 没 有 采用 代价 较 大 的 负载 均衡 措施 ,入 侵 检 测 
系统 会 存在 较 大 的 分 析 遗 漏 ,容易 造成 较 大 的 漏 报警 率 。 

(3) 基于 知识 的 人 侵 检 测 系统 很 难 检测 到 未 知 的 攻击 行为 ,也 就 是 说 ,检测 具有 一 定 
的 后 滞 性 ,而 对 于 已 知 的 报警 ,一 些 没有 明显 特征 的 攻击 行为 也 很 难 检 测 到 ,或 需要 付出 
提高 误 报警 率 的 代价 才能 够 正确 检测 。 而 基于 行为 特征 的 入 侵 检测 系统 只 能 在 一 定 程度 
上 检测 到 新 的 攻击 行为 ,但 一 般 很 难 给 新 的 攻击 定性 ,提供 给 系统 管理 员 的 处 理 信息 较 
少 , 很 难 进行 进一步 的 防护 处 理 。 

(4) 入 侵 检 测 系统 的 主动 防御 功能 和 联动 防御 功能 会 对 网 络 的 行为 产生 影响 ,同样 
也 会 成 为 攻击 者 的 目标 ,实现 以 人 侵 检 测 系统 过 敏 自主 防御 为 基础 的 攻击 。 通 过 发 送 伪 
造 的 数据 ,触发 人 侵 检 测 系统 的 主动 防御 响应 ,对 可 信 连 接 进 行 阻 断 ,造成 拒绝 服务 攻击 。 
在 目前 的 技术 条 件 下 ,对 于 网 络 的 主动 防御 的 设置 要 十 分 慎重 ,防止 出 现 利用 主动 防御 系 
统 进行 网 络 攻击 的 情况 。 

(5) 入 侵 检 测 系统 无 法 单独 防止 攻击 行为 的 渗透 ,只 能 调整 相关 网 络 设备 的 参数 或 
人 为 地 进行 处 理 。 由 于 入 侵 检测 技术 不 可 避免 地 存在 着 大 量 的 误 报 情况 ,因此 进行 自动 
防御 会 造成 对 可 信和 连接 的 影响 。 目 前 的 入 侵 检 测 系统 在 实质 性 安全 防御 方面 ,还 是 要 以 
人 为 修正 为 主 ,即使 是 对 可 确定 入 侵 的 自动 阻 断 行为 ,建议 也 要 经 过 人 为 干预 ,防止 可 能 
的 过 敏 防御 。 

(6) 网 络 入 侵 检测 系统 在 纯 交 换 环境 下 无 法 正常 工作 ,只 有 对 交换 环境 进行 一 定 的 
处 理 , 利 用 镜像 等 技术 ,网 络 人 侵 检测 系统 才能 对 镜像 的 数据 进行 分 析 处 理 。 因 此 ,在 交 
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换 环境 中 ,进行 各 个 方向 的 检测 分 析 将 非常 困难 并 且 代 价 较 大 。 
(7) 入 侵 检 测 系统 主要 是 对 网 络 行为 进行 分 析 检 测 ,不 能 修正 信息 资源 中 存在 的 安 
全 问题 。 


_ 13.7 本 章 小 结 


入 侵 检 测 是 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 搜集 信息 并 对 其 进行 分 析 ， 
从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 唱 到 袭击 的 迹象 的 一 种 机 制 。 

入 侵 检 测 系统 使 用 入 侵 检测 技术 对 网 络 与 其 上 的 系统 进行 监视 ,并 根据 监视 结果 进 
行 不 同 的 安全 动作 ,最 大 限度 地 降低 可 能 的 入 侵 危 害 。 

入 侵 检测 系统 主要 由 4 个 部 分 组 成 : 事件 产生 器 、 事 件 分 析 器 、 响 应 单元 和 事件 数 
据 库 。 

入 侵 检测 系统 根据 信息 来 源 与 类 型 可 以 分 为 基于 主机 和 基于 网 络 两 大 类 。 入 侵 防 护 
系统 采用 入侵 检测 技术 ,是 一 种 基于 高 层 应 用 防护 的 网 络 安全 防护 设备 。 

异常 检测 技术 也 称 为 基于 行为 的 检测 技术 ,是 指 根据 用 户 的 行为 和 系统 资源 的 使 用 
状况 判断 是 否 存 在 网 络 入 侵 。 

误 用 检测 技术 也 称 为 基于 知识 的 检测 技术 或 者 模式 匹配 检测 技术 , 它 通过 对 实际 行 
为 和 数据 的 特征 匹配 判断 是 否 存在 已 知 的 网 络 和 人 侵 行为 。 

入 侵 检 测 系统 可 以 部 署 在 4 个 位 置 上 : DMZ 区 、 外 网 入 口 .内 网 主干 .关键 子 网 。 

要 根据 目标 网 络 的 具体 情况 以 及 企业 的 安全 需求 对 入侵 检测 系统 进行 适当 的 配置 ， 
保证 入 侵 检测 系统 正常 有 效 地 运行 。 

在 进行 人 侵 检 测 系统 运行 管理 时 ,需要 保证 及 时 处 理 系统 输出 ;及 时 更 新 系统 检测 行 
为 ,适应 网 络 不 断 变化 的 需求 :同时 注意 对 保存 的 日 志 信息 的 进一步 分 析 和 处 理 。 通 过 认 
真 的 日 常 管理 ,保证 入 侵 检测 系统 发 挥 最 大 的 安全 保障 作用 。 


习 题 


. 什么 叫做 入 侵 检测 系统 ? 
. 简单 地 介绍 一 下 入侵 检测 系统 的 基本 结构 。 
. 简 述 NIDS 的 基本 原理 。 
. HIDS 与 NIDS 相 比 有 哪些 优势 和 不 足 ? 
试 分 析 基 于 主机 网 络 连接 检测 的 IDS 与 基于 网 络 的 IDS 的 基本 区 别 。 
简 述 异常 检测 技术 的 基本 原理 。 
试 比较 异常 检测 技术 和 误 用 检测 技术 各 有 哪些 优势 和 不 足 。 
以 一 种 检测 算法 为 例 , 简 单 说 明基 于 误 用 检测 技术 的 IDS 的 工作 过 程 。 
简单 描述 入 侵 检 测 系统 的 配置 流程 。 
10. 参照 你 所 了 解 的 局 域 网 ,对 网 络 信息 进行 搜集 ,制定 一 个 人 侵 检测 系统 的 配置 计 
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划 , 画 出 配置 拓扑 图 。 

11. 结合 所 在 的 局 域 网 ,制定 一 个 人 侵 检测 系统 的 运行 管理 计划 。 

12. 简 述 入 侵 检 测 系 统 的 优 缺 点 。 

13. 入 侵 防护 是 入 侵 检测 的 发 展 方向 吗 ? 人 侵 防 护 会 不 会 完全 取代 入 侵 检测 ? 请 阐 
述 自己 的 观点 。 
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本 章 要 点 ， 

。 恶意 代码 的 概念 和 分 类 ; 

。 计 算 机 病毒 的 概念 和 结构 ; 

。 恶意 代码 与 计算 机 病毒 防治 的 技术 .部署 、 管 理 和 软件 。 


14.1 恶意 代码 


1411 恶意 代码 的 概念 


代码 是 指 计算 机 程序 代码 ,可 以 被 执行 完成 特定 功能 。 任 何事 物 都 有 正 反 两 面 ,人 类 
发 明 的 所 有 工具 既 可 造福 也 可 作 蔡 ,这 完全 取决 于 使 用 工具 的 人 。 计 算 机 程序 也 不 例外 ， 
在 善良 的 软件 工程 师 们 编写 了 大 量 的 有 用 软件 (操作 系统 ,应 用 系统 .数据库 系 统 等 ) 的 同 
时 ,黑客 们 却 在 编写 着 扰乱 社会 和 他 人 ,甚至 起 着 破坏 作用 的 计算 机 程序 ,这 就 是 恶意 
代码 。 


人 412 恶意 代码 的 分 类 


恶意 代码 可 以 按照 两 种 分 类 标准 ,从 两 个 角度 进行 直 交 分 类 。 一 种 分 类 标准 是 ,恶意 
代码 是 否 需 要 宿主 , 即 特定 的 应 用 程序 、 工 具 程 序 或 系统 程序 。 需 要 宿主 的 恶意 代码 具有 
依附 性 ,不 能 脱离 宿主 而 独立 运行 ;不 需要 宿主 的 恶意 代码 具有 独立 性 ,可 不 依赖 宿主 而 
独立 运行 。 另 一 种 分 类 标准 是 ,恶意 代码 是 否 能 够 自我 复制 。 不 能 自我 复制 的 恶意 代码 
是 不 感染 的 ;能 够 自我 复制 的 恶意 代码 是 可 感染 的 。 由 此 ,可 以 得 出 以 下 4 大 类 恶意 代码 
( 见 表 14-1) : 

， 不 感染 的 依附 性 恶意 代码 ; 

。 不 感染 的 独立 性 恶意 代 

。 可 感染 的 依附 性 恶 3 
[感染 的 独立 性 恶意 代码 。 
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表 14-1 恶意 代码 的 分 类 方法 


分 类 标准 需要 宿主 不 需要 宿主 
不 能 自我 复制 不 感染 的 依附 性 恶意 代码 不 感染 的 独立 性 恶意 代码 
能 够 自我 复制 可 感染 的 依附 性 恶意 代码 可 感染 的 独立 性 恶意 代码 


目前 发 现 并 命名 的 主要 恶意 代码 按 上 述 分 类 方法 的 分 类 结果 如 表 14-2 所 示 。 
表 14-2 恶意 代码 的 分 类 实例 


类 别 实 例 
特洛伊 木马 (Trojan horse) 
不 感染 的 依附 性 恶意 代码 逻辑 炸弹 (logic bomb) 


后 门 (backdoor) 或 陷 门 (trapdoor) 
点 滴 器 (dropper) 


不 感染 的 独立 性 恶意 代码 繁殖 器 (generator) 
恶作剧 (hoax) 

可 感染 的 依附 性 恶意 代码 病毒 (virus) 

蠕虫 (worm) 

可 感染 的 独立 性 恶意 代码 细菌 (germ) 


1. 不 感染 的 依附 性 恶意 代码 

(1) 特洛伊 木马 

关于 特洛伊 木马 (Trojan horse) 有 一 个 典故 。 大 约 在 公元 前 12 世纪 ,因为 特洛伊 王 
子 动 持 了 斯 巴 达 国王 梅 尼 拉 斯 的 麦子 海伦 ,希腊 向 特洛伊 城 宣战 。 战 争 持续 了 10 年 , 特 
洛 伊 城 非常 坚固 ,希腊 军队 无 法 攻 入 。 后 来 ,希腊 军队 撤退 ,在 特洛伊 城 外 留 下 了 很 多 巨 
大 的 木马 。 特 洛 伊 城 的 军民 以 为 这 是 希腊 军队 留 给 他 们 的 礼物 ,就 将 这 些 木 马 运 进 城内 。 
没 想到 木马 中 隐藏 有 希腊 最 好 的 战士 ,到 了 夜晚 ,这 些 希 腊 士兵 在 奥迪 塞 斯 的 带领 下 打开 
特洛伊 城 的 城 门 ,于 是 希腊 军队 夺 下 了 特洛伊 城 。 据 说 “小 心 希腊 人 的 礼物 ”这 一 谚语 也 
是 出 于 这 个 典故 。 

在 计算 机 领域 ,特洛伊 木马 是 一 段 吸引 人 而 不 为 人 警惕 的 程序 ,但 它们 可 以 执行 某 些 
秘密 任务 。 大 多 数 安全 专家 统一 认可 的 定义 是 :“ 特 洛 伊 木 马 是 一 段 能 实现 有 用 的 或 必 
需 的 功能 的 程序 ,但 是 同时 还 完成 一 些 不 为 人 知 的 功能 ,这 些 额 外 的 功能 往往 是 有 害 的 。” 

这 个 定义 中 有 3 点 需要 进一步 解释 : 

第 一 “有 用 的 或 必需 的 功能 的 程序 "只 是 诱饵 ,就 像 典故 里 的 特洛伊 木马 ,表面 看 上 
去 很 美 但 实际 上 暗藏 危机 。 

第 二 ,“ 不 为 人 知 的 功能 "定义 了 其 欺骗 性 ,是 危机 所 在 之 处 ,为 几乎 所 有 的 特洛伊 木 
马 所 必 备 的 特点 。 

第 三 “往往 是 有 害 的 ?定义 了 其 恶意 性 ,恶意 企图 包括 : (1) 试 图 访问 未 授权 资源 (如 
盗 取 口令 .个 人 隐私 或 企业 机 密 ); (2) 试 图 阻止 正常 访问 (如 拒绝 服务 攻击 ); (3) 试 图 更 
改 或 破坏 数据 和 系统 (如 删除 文件 .创建 后 门 等 ) 。 
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特洛伊 木马 一 般 没 有 自我 复制 的 机 制 ,所 以 不 会 自动 复制 自身 。 电 子 新 闻 组 和 电子 
邮件 是 特洛伊 木马 的 主要 传播 途径 。 特 洛 伊 木马 的 欺骗 性 是 其 得 以 传播 的 根本 原因 。 特 
洛 伊 木 马 经 常 伪装 成 游戏 软件 .搞笑 程序 .屏保 ,非法 软件 .色情 资料 等 ,上 传 到 电子 新 闻 
组 或 通过 电子 邮件 直接 传播 ,很 容易 被 不 知情 的 用 户 接收 和 继续 传播 。 

1997 年 4 月 ,一 伙 人 开发 出 一 个 名 叫 AOL4FREE. COM 的 特洛伊 木马 ,声称 可 以 免 
费 访问 AOL ,但 它 却 损 坏 了 执行 它 的 机 器 硬盘 。 

(2) 逻辑 炸弹 

逻辑 炸弹 (logic bomb) 是 一 段 具 有 破坏 性 的 代码 ,事先 预 置 于 较 大 的 程序 中 ,等 待 某 扳 
机 事件 发 生 触 发 其 破坏 行为 。 扳 机 事件 可 以 是 特殊 日 期 ,也 可 以 是 指定 事件 。 人 逻辑 炸弹 往 
往 被 那些 有 怨恨 的 职员 利用 ,他 们 希望 在 离开 公司 后 ,通过 启动 逻辑 炸弹 来 损伤 公司 利益 。 
一 旦 逻辑 炸弹 被 触发 ,就 会 造成 数据 或 文件 的 改变 或 删除 .计算 机 死机 等 破坏 性 事件 。 

一 个 著名 的 例子 是 美国 马里 兰州 某 县 的 图 书馆 系统 ,开发 该 系统 的 承包 商 在 系统 中 
插入 了 一 个 逻辑 炸弹 ,如 果 承包 商 在 规定 日 期 得 不 到 全 部 酬金 , 它 将 在 该 日 期 使 整个 系统 
瘫痪 。 当 图 书馆 因 系 统 响应 时 间 过 长 准备 扣留 最 后 酬金 时 ,承包 商 指 出 了 逻辑 炸弹 的 存 
在 ,并 威胁 如 果 酬 金 不 到 位 的 话 就 会 让 它 爆炸 。 

(3) 后 门 或 陷 门 

后 门 (backdoor) 或 陷 门 (trapdoor) 是 进入 系统 或 程序 的 一 个 秘密 人 口 , 它 能 够 通过 
识别 某 种 特定 的 输入 序列 或 特定 账户 ,使 访问 者 绕 过 访问 的 安全 检查 ,直接 获得 访问 权 
利 , 并 且 通 常 高 于 普通 用 户 的 特权 。 多 年 来 ,程序 员 为 了 调试 和 测试 程序 一 直 合法 地 使 用 
后 门 , 但 当 程 序 员 或 他 所 在 的 公司 另 有 企图 时 ,后 门 就 变 成 了 一 种 威胁 。 


2 不 感染 的 独立 性 恶意 代码 

(1) 点 滴 器 

点 滴 器 (dropper) 是 为 传送 和 安装 其 他 恶意 代码 而 设计 的 程序 , 它 本 身 不 具有 直接 的 
感 当 性 和 破坏 性 。 点 滴 器 专门 对 抗 反 病 毒 检 测 ,使 用 了 加 密 手 段 ,以 阻止 反 病 毒 程序 发 现 
它们 。 当 特定 事件 出 现时 , 它 便 启动 ,将 自身 包含 的 恶意 代码 释放 出 来 。 

(2) 繁殖 器 

繁殖 器 (generator) 是 为 制造 恶意 代码 而 设计 的 程序 ,通过 这 个 程序 ,只 要 简单 地 从 
菜单 中 选择 你 想 要 的 功能 ,就 可 以 制造 恶意 代码 ,不 需要 任何 程序 设计 能 力 。 事 实 上 ， 
它 只 是 把 某 些 已 经 设计 好 的 恶意 代码 模块 按照 使 用 者 的 选择 组 合 起 来 而 已 ,没有 任何 
创造 新 恶意 代码 的 能 力 。 因 此 ,检测 由 繁殖 器 产生 的 任何 病毒 都 比较 容易 ,只 要 通过 
搜索 一 个 字符 串 ,每 种 组 合 都 可 以 被 发 现 。 繁 殖 器 的 典型 例子 是 VCL(virus creation 
laboratory) 。 

(3) 恶作剧 

恶作剧 (hoax) 是 为 欺骗 使 用 者 而 设计 的 程序 , 它 侮 辱 使 用 者 或 让 其 做 出 不 明智 的 举 
动 。 恶 作 剧 通过 ”心理 破坏 ”达到 “现实 破坏 ”。 例 如 ,UltraCool 声称 “如 果 不 按 退出 按钮 
的 话 ,一 个 低 水 平 的 硬盘 格式 化 会 在 27 秒 内 完成 ”, 然 而 如 果 一 直 用 鼠标 按 住 退出 按钮 的 
话 , 直 到 计时 到 0 时 , 便 会 出 现 一 个 “只 是 玩笑 ?的 信息 。 这 只 是 轴 弄 而 已 ,严重 的 问题 是 
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有 些 恶 作 剧 会 让 受骗 者 相信 他 的 数据 正在 丢失 或 系统 已 经 损坏 需要 重新 安装 ,惊慌 失措 
的 受骗 者 可 能 会 做 出 不 明智 的 操作 ,如 设法 恢复 丢失 的 数据 或 阻止 数据 再 次 丢失 ,或 进行 
系统 重新 安装 而 致使 数据 丢失 甚至 无 法 进入 系统 ,从 而 导致 真正 的 破坏 。 


3 可 感染 的 依附 性 恶意 代码 

计算 机 病毒 (virus) 是 一 段 附着 在 其 他 程序 上 的 可 以 进行 自我 繁殖 的 代码 。 由 此 可 
见 , 计 算 机 病毒 是 既 有 依附 性 ,又 有 感染 性 。 

由 于 绝 大 多 数 恶 意 代码 都 或 多 或 少 地 具有 计算 机 病毒 的 特征 ,因此 在 下 一 节 中 专门 
论述 计算 机 病毒 ,这 里 不 多 做 解释 。 


4 可 感染 的 独立 性 恶意 代码 

(1) 蠕虫 

计算 机 蠕虫 (worm) 是 一 种 通过 计算 机 网 络 能 够 自我 复制 和 扩散 的 程序 。 蠕 虫 与 病 
毒 的 区 别 在 于 “附着 ”。 蠕 虫 不 需要 宿主 ,不 会 与 其 他 特定 程序 混合 。 因 此 ,与 病毒 感染 特 
定 目标 程序 不 同 ,蠕虫 感染 的 是 系统 环境 (如 操作 系统 或 邮件 系统 ) 。 

蠕虫 利用 一 些 网 络 工 具 复 制 和 传播 自身 ,其 中 包括 : 

。 电子 邮件 ”蠕虫 会 把 自身 的 副本 邮寄 到 其 他 系统 中 ; 

。 远程 执行 ”蠕虫 能 够 执行 在 其 他 系统 中 的 副本 ; 

。 远程 登录 ”蠕虫 能 够 像 用 户 一 样 登录 到 远程 系统 中 ,然后 使 用 系统 命令 将 其 自身 

从 一 个 系统 复制 到 另 一 个 系统 中 。 

上 述 方式 的 递归 过 程 , 即 新 感染 系统 采取 同样 的 上 述 方式 进行 复制 和 传播 ,使 得 蠕虫 
传播 非常 迅速 。 蠕 虫 可 以 大 量 地 消耗 计算 机 时 间 和 网 络 通信 带宽 ,导致 整个 计算 机 系统 
及 其 网 络 的 崩溃 ,成 为 拒绝 服务 攻击 的 工具 。 

Carey Nachenberg 建议 对 蠕虫 进行 如 下 分 类 。 

根据 传播 方式 可 分 为 几 种 。 

。 电子 邮件 蠕虫 (E-mail worm) 通过 电子 邮件 传播 ; 

。 任意 协议 蠕虫 Carbitrary protocol worm) 通过 电子 邮件 以 外 的 其 他 网 络 协议 

传播 。 

根据 启动 方式 可 分 为 几 种 。 

。 自动 启动 蠕虫 (self-launching worm) ”不 需要 与 受害 者 交互 而 自动 执行 ,如 

morris worm; 

。 用 户 启动 蠕 忠 (user-launched worm) ”必须 由 使 用 者 来 执行 ,因此 需要 一 定 的 伪 

装 , 如 CHRISTMA EXEC; 

。 混合 启动 蠕虫 (hybrid-launch worm) 包含 上 述 两 种 启动 方式 。 

(2) 细菌 

计算 机 细菌 (germ) 是 一 种 在 计算 机 系统 中 不 断 复制 自己 的 程序 。 一 个 典型 的 细菌 
是 在 多 任务 系统 中 生成 它 的 两 个 副本 ,然后 同时 执行 这 两 个 副本 ,这 一 过 程 递归 循环 , 迅 
速 以 指数 形式 膨胀 ,最终 会 占用 全 部 的 处 理 器 时 间 和 内 存 或 磁盘 空间 ,从 而 导致 计算 资源 
耗 尽 无 法 为 用 户 提供 服务 。 细 菌 通 常 发 生 在 多 用 户 系统 和 网 络 环境 中 ,目的 就 是 占用 所 
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有 的 资源 。 

上 述 分 类 是 为 了 从 概念 上 把 握 恶意 代码 的 主要 特征 ,便于 理解 和 研究 。 随 着 恶意 代 
码 的 不 断 进化 ,实际 中 的 许多 恶意 代码 同时 具有 多 种 特征 ,这 样 可 以 具有 更 大 的 威胁 性 。 
最 典型 的 是 蠕虫 病毒 , 它 是 蠕虫 和 病毒 的 混合 体 ,同时 具有 蠕虫 和 病毒 的 特征 。 


142 ”计算 机 病毒 


严格 地 从 概念 上 讲 ,计算 机 病毒 是 恶意 代码 的 一 种 , 即 可 感染 的 依附 性 恶意 代码 ,这 
是 纯粹 意义 上 的 计算 机 病毒 概念 。 实 际 上 ,目前 发 现 的 恶意 代码 几乎 都 是 混合 型 的 计算 
机 病毒 , 即 除 了 具有 纯粹 意义 上 的 病毒 特征 外 ,还 带 有 其 他 类 型 恶意 代码 的 特征 。 蠕 虫 病 
毒 就 是 最 典型 和 最 常见 的 恶意 代码 , 它 是 蠕虫 和 病毒 的 混合 体 。 加 之 “病毒 "一 词 非 常 形 
象 且 很 具 感 染 力 ,因此 ,媒体 .杂志 ,包括 很 多 专业 文章 和 书籍 都 喜欢 用 "计算 机 病毒 "来 指 
学 术 上 的 恶意 代码 。 在 这 个 意义 上 讲 , “计算机 病毒 ”一 词 就 不 仅 限 于 纯粹 的 计算 机 病毒 ， 
而 是 指 混合 型 的 计算 机 病毒 。 

本 节 在 概念 论述 上 给 出 纯粹 意义 上 的 计算 机 病毒 的 定义 ,在 技术 说 明 上 则 涉及 范围 
更 广 的 混合 型 计算 机 病毒 。 


1421 计算 机 病毒 的 概念 


“计算 机 病毒 ”最 早 是 由 美国 计算 机 病毒 研究 专家 Fred Cohen 博士 正式 提出 的 。“ 病 
毒 " 一 词 来 源 于 生物 学 ,因为 计算 机 病毒 与 生物 病毒 在 很 多 方面 有 着 相似 之 处 。 

Fred Cohen 博士 对 计算 机 病毒 的 定义 是 :“ 病 毒 是 一 种 靠 修 改 其 他 程序 来 插入 或 进 
行 自身 复制 ,从 而 感染 其 他 程序 的 一 段 程 序 .” 这 一 定义 作为 标准 已 被 普遍 地 接受 。 

在 (中华 人民 共和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 的 定义 为 : “计算机 病毒 是 指 
编制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数据 ,影响 计算 机 使 用 并 且 能 够 自我 
复制 的 一 组 计算 机 指令 或 者 程序 代码 。” 

计算 机 病毒 (简称 病毒 ) 具 有 以 下 特征 : 

(1) 传染 性 

病毒 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 。 病 毒 程序 一 旦 进 
人 计算 机 并 得 以 执行 ,就 会 寻找 符合 感染 条 件 的 目标 ,将 其 感染 ,达到 自我 繁殖 的 目的 。 
所 谓 “ 感 染 ”, 就 是 病毒 将 自身 嵌入 到 合法 程序 的 指令 序列 中 ,致使 执行 合法 程序 的 操作 会 
招致 病毒 程序 的 共同 执行 或 以 病毒 程序 的 执行 取而代之 。 因 此 ,只 要 一 台 计 算 机 染 上 病 
毒 , 如 不 及 时 处 理 , 那 么 病毒 会 在 这 台 机 子 上 迅速 扩散 ,其 中 的 大 量 文件 (一 般 是 可 执行 文 
件 ) 就 会 被 感染 。 而 被 感染 的 文件 又 成 了 新 的 传染 源 ,再 与 其 他 机 器 进行 数据 交换 或 通过 
网 络 接触 ,病毒 会 继续 传染 。 病 毒 通过 各 种 可 能 的 渠道 ,如 可 移动 存储 介质 (如 软盘 )、 计 
算 机 网 络 去 传染 其 他 计算 机 。 人 往往 曾 在 一 台 染 毒 的 计算 机 上 用 过 的 软盘 已 感染 上 了 病 
毒 , 与 这 台 机 器 联网 的 其 他 计算 机 也 许 也 被 染 上 病毒 了 。 传 染 性 是 病毒 的 基本 特征 。 

(2) 隐蔽 性 

病毒 一 般 是 具有 很 高 编程 技巧 的 ,短小 精 悍 的 一 段 代码 , 躲 在 合法 程序 当中 。 如 果 不 
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经 过 代码 分 析 ,病毒 程序 与 正常 程序 是 不 容易 区 别 开 来 的 。 这 是 病毒 程序 的 隐蔽 性 。 在 
没有 防护 措施 的 情况 下 ,病毒 程序 取得 系统 控制 权 后 ,可 以 在 很 短 的 时 间 里 传染 大 量 其 他 
程序 ,而 且 计 算 机 系统 通常 仍 能 正常 运行 ,用 户 不 会 感到 任何 异常 ,好 像 在 计算 机 内 不 曾 
发 生 过 什么 。 这 是 病毒 传染 的 隐蔽 性 。 

(3) 潜伏 性 

病毒 进入 系统 之 后 一 般 不 会 马上 发 作 , 可 以 在 几 周 或 者 几 个 月 其 至 几 年 内 隐藏 在 合 
法 程序 中 ,默默 地 进行 传染 扩散 而 不 被 人 发 现 , 潜 伏 性 越 好 ,在 系统 中 的 存在 时 间 就 会 越 
长 ,传染 范围 也 就 会 越 大 。 病 毒 的 内 部 有 一 种 触发 机 制 , 不 满足 触发 条 件 时 ,病毒 除了 传 
染 外 不 做 什么 破坏 。 一 旦 触发 条 件 得 到 满足 ,病毒 便 开 始 表 现 , 有 的 只 是 在 屏幕 上 显示 信 
息 、 图 形 或 特殊 标识 ,有 的 则 执行 破坏 系统 的 操作 ,如 格式 化 磁盘 、 删 除 文件 .加 密 数 据 、 封 
锁 键 盘 、 毁 坏 系统 等 。 触 发 条 件 可 能 是 预定 时 间或 日 期 ,特定 数据 出 现 、 特 定 事件 发 生 等 。 

(4) 多 态 性 

病毒 试图 在 每 一 次 感染 时 改变 它 的 形态 ,使 对 它 的 检测 变 得 更 困难 。 一 个 多 态 病 毒 
还 是 原来 的 病毒 ,但 不 能 通过 扫描 特征 字符 串 来 发 现 。 病 毒 代 码 的 主要 部 分 相同 ,但 表达 
方式 发 生 了 变化 ,也 就 是 同一 程序 由 不 同 的 字 节 序列 表示 。 

(5) 破坏 性 

病毒 一 旦 被 触发 而 发 作 就 会 造成 系统 或 数据 的 损伤 甚至 毁灭 。 病 毒 都 是 可 执行 程 
序 ,而 且 又 必然 要 运行 ,因此 所 有 的 病毒 都 会 降低 计算 机 系统 的 工作 效率 ,占用 系统 资源 ， 
其 侵占 程度 取决 于 病毒 程序 自身 。 病 毒 的 破坏 程度 主要 取决 于 病毒 设计 者 的 目的 ,如 果 
病毒 设计 者 的 目的 在 于 彻底 破坏 系统 及 其 数据 ,那么 这 种 病毒 对 于 计算 机 系统 进行 攻击 
造成 的 后 果 是 难以 想像 的 , 它 可 以 毁 掉 系统 的 部 分 或 全 部 数据 并 使 之 无 法 恢复 。 虽 然 不 
是 所 有 的 病毒 都 对 系统 产生 极其 恶劣 的 破坏 作用 ,但 有 时 几 种 本 没有 多 大 破坏 作用 的 病 
毒 交 叉 感 染 ,也 会 导致 系统 崩溃 等 重大 恶果 。 


1422 计算 机 病毒 的 结构 


计算 机 病毒 主要 由 潜伏 机 制 、 传 染 机 制 和 表现 机 制 构 成 。 在 程序 结构 上 由 实现 这 3 
种 机 制 的 模块 组 成 ( 见 图 14-1)。 


若 某 程序 被 定义 为 计算 机 病毒 ,只 有 传染 机 制 计算 机 病毒 程序 
是 强制 性 的 ,潜伏 机 制 和 表现 机 制 是 非 强制 性 的 。 开 人 章 
和 
1 潜伏 机 制 扔 本 科 
潜伏 机 制 的 功能 包括 初始 化 .隐藏 和 捕捉 。 潜 借 区 保 


伏 机 制 模块 随 着 感染 的 宿主 程序 的 执行 进入 内 存 ， 
首先 ,初始 化 其 运行 环境 ,使 病毒 相对 独立 于 宿主 程 
序 ,为 传染 机 制 做 好 准备 。 然 后 ,利用 各 种 可 能 的 隐 
藏 方式 ,躲避 各 种 检测 ,欺骗 系统 ,将 自己 隐蔽 起 来 。 最 后 ,不 停 地 捕捉 感染 目标 交 给 传染 
机 制 ,不 停 地 捕捉 触发 条 件 交 给 表现 机 制 。 


图 14-1 计算 机 病毒 程序 结构 
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2 传染 机 制 

传染 机 制 的 功能 包括 判断 和 感染 。 传 染 机 制 先是 判断 候选 感染 目标 是 否 已 被 感染 ， 
感染 与 否 通过 感染 标记 来 判断 ,感染 标记 是 计算 机 系统 可 以 识别 的 特定 字符 或 字符 串 。 
一 旦 发 现 作 为 候选 感染 目标 的 宿主 程序 中 没有 感染 标记 ,就 对 其 进行 感染 ,也 就 是 将 病毒 
代码 和 感染 标记 放 入 宿主 程序 之 中 。 早 期 的 有 些 病 毒 是 重复 感染 型 的 , 它 不 做 感染 检查 ， 
也 没有 感染 标记 ,因此 这 种 病毒 可 以 再 次 感染 自身 。 


3 表现 机 制 

表现 机 制 的 功能 包括 判断 和 表现 。 表 现 机 制 首先 对 触发 条 件 进行 判断 ,然后 根据 不 
同 的 条 件 决定 什么 时 候 表现 、 如 何 表现 。 表 现 内 容 多 种 多 样 ,然而 不 管 是 炫 漆 、 玩 笑 、 恶 作 
剧 , 还 是 故意 破坏 ,或 轻 或 重 都 具有 破坏 性 。 表 现 机 制 反映 了 病毒 设计 者 的 意图 ,是 病毒 
间 差异 最 大 的 部 分 。 潜 伏 机 制 和 传染 机 制 是 为 表现 机 制服 务 的 。 


143 ”防治 措施 


恶意 代码 或 计算 机 病毒 (这 里 把 两 者 基本 等 同 起 来 ) 带 来 的 危害 已 经 严重 地 影响 了 人 
们 的 工作 和 生活 ,威胁 着 社会 的 秩序 和 安全 。 全 球 对 防治 病毒 的 关注 和 重视 不 断 升 温 , 病 
毒 防治 技术 也 随 之 迅速 发 展 ,与 病毒 制造 技术 展开 了 前 所 未 有 的 竞赛 。 病 毒 制造 技术 与 
病毒 防治 技术 是 “ 矛 " 与 * 盾 ”的 辩证 发 展 关 系 , 互 为 发 展 动力 。 

防治 病毒 ,顾名思义 ,一 是 * 防 ”, 二 是 “ 治 ”"。“ 防 ”是 主动 的 ,“ 治 "是 被 动 的 。 首 先 要 积 
极地 * 防 ”, 尽 量 避 免 病毒 人 侵 . 然 而 * 防 ”是 有 时 效 性 的 ,今天 防 住 了 ,明天 就 有 可 能 被 突 
破 。 对 于 入 侵 的 病毒 当然 要 努力 地 “ 治 ”, 以 尽量 减少 和 挽回 病毒 造成 的 损失 ,并 且 通 过 
“ 治 ” 的 过 程 掌握 病毒 的 机 理 , 反 过 来 又 可 以 加 强 “ 防 ”» 了 。 因 此 ,病毒 防治 应 采取 “以 防 为 
主 , 与 治 结合 、 互 为 补充 ”的 策略 ,不 可 偏 废 任何 一 方面 。 


1431 病毒 防治 的 技术 


如 上 所 述 ,病毒 防治 技术 分 为 防 ” 和 “ 治 ” 两 部 分 。“ 防 ” 毒 技术 包括 预防 技术 和 免疫 
技术 ;“ 治 ” 毒 技术 包括 检测 技术 和 消除 技术 。 


1 病毒 预防 技术 

病毒 预防 是 指 在 病毒 尚未 人 侵 或 刚刚 入 侵 还 未 发 作 时 ,就 进行 拦截 阻击 或 立即 报警 。 
要 做 到 这 一 点 ,首先 要 清楚 病毒 的 传播 途径 和 寄生 场所 ,然后 对 可 能 的 传播 途径 严 加 防 
守 , 对 可 能 的 寄生 场所 实时 监控 ,达到 封锁 病毒 和 人口 ,杜绝 病毒 载体 的 目的 。 不 管 是 传播 
途径 的 防守 还 是 寄生 场所 的 监控 ,都 需要 一 定 的 检测 技术 手段 来 识别 病毒 。 有 关 病 毒 识 
别 的 检测 技术 ,将 在 病毒 检测 技术 一 节 中 详细 介绍 。 

病毒 的 传播 途径 和 寄生 场所 都 是 实施 病毒 预防 措施 的 对 象 。 

(1) 病毒 的 传播 途径 及 其 预防 措施 

@ 不 可 移动 的 计算 机 硬件 设备 ,包括 ROM 芯片 专用 ASIC 芯片 和 硬盘 等 。 目 前 的 
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个 人 计算 机 主板 上 分 离 元 器 件 和 小 芯片 很 少 , 主 要 靠 几 块 大 芯片 , 除 CPU 外 其 余 的 大 芯 
片 都 是 ASIC 芯片 。 利 用 先进 的 集成 电路 工艺 ,在 芯片 内 可 制作 大 量 的 单元 电路 ,集成 各 
种 复杂 的 电路 。 这 种 芯片 带 有 加 密 功 能 ,除了 知道 密码 的 设计 者 外 , 写 在 芯片 中 的 指令 代 
码 没 人 能 够 知道 。 如 果 将 隐藏 有 病毒 代码 的 芯片 安装 在 敌对 方 的 计算 机 中 ,通过 某 种 控 
制 信号 激活 病毒 ,就 可 对 敌手 实施 出 乎 意料 的 、 措 手 不 及 的 打击 。 这 种 新 一 代 的 电子 战 、 
信息 战 的 手段 已 经 不 是 幻想 。 在 1991 年 的 海湾 战争 中 ,美军 对 伊拉克 部 队 的 电脑 防御 系 
统 实施 病毒 攻击 ,成 功 地 使 该 系统 一 半 以 上 的 计算 机 染 上 病毒 ,遭受 破坏 。 这 种 病毒 程序 
有 具有 很 强 的 隐蔽 性 、 传 染 性 和 破坏 性 ;在 没有 收 到 指令 时 会 静 静 地 隐藏 在 专用 芯片 中 , 极 
不 容易 发 现 ; 一 旦 接 到 指令 , 便 会 改作, 不 断 扩散 和 破坏 。 这 种 传播 途径 的 病毒 很 难 遇 到 ， 
目前 尚 没有 较 好 的 发 现 手段 对 付 。 

具体 预防 措施 包括 : 

。 对 于 新 购置 的 计算 机 系统 用 检测 病毒 软件 或 其 他 病毒 检测 手段 (包括 人 工 检测 方 
法 ) 检 查 已 知 病毒 和 未 知 病毒 ,并 经 过 实验 ,证实 没有 病毒 感染 和 破坏 迹象 后 再 实 
际 使 用 。 

。 对 于 新 购置 的 硬盘 可 以 进行 病毒 检测 ,更 保险 起 见 也 可 以 进行 低级 格式 化 。 注 
意 , 对 硬盘 只 做 DOS 的 Format 格式 化 不 能 除去 主 引导 区 中 的 病毒 。 

@ 可 移动 的 存储 介质 设备 ,包括 软盘 、 磁 带 、 光 盘 以 及 可 移动 式 硬盘 等 。 软 盘 曾 是 使 

用 最 广泛 .携带 最 便利 .移动 最 频繁 的 存储 介质 ,因此 ,成 了 计算 机 病毒 寄生 的 “温床 ”, 大 
多 数 计算 机 都 是 从 这 类 途径 感染 病毒 的 。 

具体 预防 措施 包括 以 下 几 项 : 

。 在 保证 硬盘 无 病毒 的 情况 下 ,尽量 用 硬盘 而 不 要 用 软盘 启动 计算 机 。 启 动 前 ,要 
保证 软盘 驱动 器 中 无 任何 软盘 。 注 意 ,即使 不 是 系统 盘 , 染 毒 的 数据 盘 也 会 将 病 
毒 带 入 系统 。 

。， 尽量 将 程序 文件 和 数据 文件 分 开 存放 在 不 同 的 软盘 中 ,将 装 有 程序 文件 的 软盘 设 
置 到 写 保护 状态 。 目 前 还 没有 只 用 软件 就 可 以 避 开 写 保护 的 方法 。 

。 建立 封闭 的 使 用 环境 , 即 做 到 专机 专人、 专 盘 和 专用 。 如 果 通 过 软盘 等 与 外 界 交 
互 ,不 管 是 自己 的 软盘 在 别人 的 机 器 上 用 过 ,还 是 别人 的 软盘 在 自己 的 机 器 上 使 
用 ,都 要 进行 病毒 检测 。 

* 任何 情况 下 ,保留 一 张 写 保护 的 ,无 病毒 的 并 带 有 各 种 基本 系统 命令 的 系统 启动 
软盘 。 一旦 系统 出 现 故障 ,不 管 是 因为 染 毒 或 是 其 他 原因 ,就 可 用 于 恢复 系统 。 

@ 计算 机 网 络 ,包括 局 域 网 、 城 域 网 .广域网 ,特别 是 Internet。 各 种 网 络 应 用 (如 

E-mail FTP、Web 等 ) 使 得 网 络 途径 更 为 多 样 和 便捷 。 计 算 机 网 络 是 病毒 目前 传播 最 快 、 
最 广 的 途径 ,由 此 造成 的 危害 蔓延 最 快 , 数 量 最 大 。 从 1988 年 的 Morris 蠕虫 开始 ,席卷 
全 球 的 网 络 蠕虫 事件 一 浪 接 一 浪 , 愈 演 愈 烈 。 

具体 预防 措施 包括 以 下 几 项 : 

， 采 取 各 种 措施 保证 网 络 服务 器 上 的 系统 、 应 用 程序 和 用 户 数 据 没有 染 毒 ,如 坚持 
用 硬盘 引导 启动 系统 ,经 常 对 服务 器 进行 病毒 检查 等 。 

。 将 网 络 服 务 器 的 整个 文件 系统 划分 成 多 卷 文件 系统 ,各 卷 分 别 为 系统 、 应 用 程序 
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和 用 户 数据 所 独占 , 即 划 分 为 系统 卷 . 应 用 程序 卷 和 用 户 数据 卷 。 这 样 各 卷 的 损 
伤 和 恢复 是 相互 独立 的 ,十 分 有 利于 网 络 服务 器 的 稳定 运行 和 用 户 数据 的 安全 
保障 。 

除 网 络 系统 管理 员外 ,系统 卷 和 应 用 程序 卷 对 其 他 用 户 设置 的 权限 不 要 大 于 只 
读 ,以 防止 一 般 用 户 的 写 操作 带 进 病毒 。 

系统 管理 员 要 对 网 络 内 的 共享 区 域 ,如 电子 邮件 系统 .共享 存储 区 和 用 户 数据 卷 
进行 病毒 扫描 监控 ,发 现 异 常 及 时 处 理 , 防 止 在 网 上 扩散 。 

在 应 用 程序 卷 中 提供 最 新 的 病毒 防治 软件 ,为 用 户 下 载 使 用 。 

严格 管理 系统 管理 员 的 口令 ,为 了 防止 泄露 应 定期 或 不 定期 地 进行 更 换 , 以 防 非 
法 入 侵 带 来 病毒 感染 。 

由 于 不 能 保证 网 络 ,特别 是 Internet 上 的 在 线 计算 机 百分之百 地 不 受 病 毒 感染 ， 
所 以 ,一旦 某 台 计算 机 出 现 染 毒 迹象 ,应 立即 隔离 并 进行 排毒 处 理 ,防止 它 通过 网 
络 传染 其 他 计算 机 。 同 时 ,密切 观察 网 络 及 网 络 上 的 计算 机 状况 ,以 确定 是 否 已 
被 病毒 感染 。 如 果 网 络 已 被 染 毒 ,应 马上 采取 进一步 的 隔离 和 排毒 措施 , 尽 可 能 
地 阻止 传播 、 减 小 传播 范围 。 

网 络 是 蠕虫 传播 的 最 重要 途径 ,尤其 通过 电子 邮件 传播 。 为 了 预防 和 减少 邮件 蜂 
虫 病毒 的 危害 ,可 采取 如 下 方法 : 

。 设 定 邮件 的 路 径 在 C: 以 外 ,因为 C 分 区 是 病毒 攻击 频率 最 高 的 地 方 ,这 样 既 可 
减轻 对 C 分 区 的 病毒 攻击 ,万 一 情况 下 也 可 减少 损失 。 

收 到 新 邮件 后 ,尽量 使 用 * 另 存 为 选项 为 邮件 做 备份 ,分 类 存储 ,避免 在 同一 根 
目录 下 放 全 部 的 邮件 。 既 做 到 备份 ,又 方便 管理 和 查阅 ,一 举 两 得 。 

* 在 “通讯 簿 ”尽量 不 要 设置 太 多 的 名 单 , 如 果 要 发 送 新 邮件 ,可 以 进入 邮件 的 储 
存 目录 ,打开 客户 发 来 的 邮件 ,利用 “回复 ”功能 来 发 送 新 邮件 (删除 原 有 内 容 即 
可 ) ;如 果 客 户 较 多 ,可 建立 一 个 文本 文件 存放 所 有 客户 的 邮件 地 址 ,要 发 新 邮 
件 时 ,利用 “粘贴 ”功能 把 客户 邮件 地 址 复制 到 * 收 件 人 ” 栏 中 去 。 这 样 能 够 有 效 
地 防止 邮件 蠕虫 病毒 通过 “通讯 簿 ”的 进一步 传播 。 

遇 到 可 执行 文件 (* . EXE、* .COMD) 或 有 宏 功 能 文档 (*. DOC 等) 的 附件 ,不 要 
打开 , 先 选 择 为 "另存 为 "到 磁盘 上 ,用 病毒 防治 软件 先进 行 检查 和 杀毒 后 再 使 用 。 


* 


* 


@ 点 对 点 通信 系统 , 指 两 台 计 算 机 之 间 通 过 串 行 /并 行 接口 ,或 者 使 用 调制 解 调 器 经 


电话 网 进行 数据 交换 。 


具体 预防 措施 为 ,通信 之 前 对 两 台 计 算 机 进行 病毒 检测 ,确保 没有 病毒 感染 。 
@ 无 线 通信 网 ,作为 未 来 网 络 的 发 展 方向 ,无 线 通信 网 会 越 来 越 普及 ,同时 也 将 会 成 


为 与 计算 机 网 络 并 驾 齐 驱 的 病毒 传播 途径 。 


地 方 。 
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具体 预防 措施 可 参照 计算 机 网 络 的 预防 措施 。 
(2) 病毒 的 寄生 场所 及 其 预防 措施 
中 引导 扇 区 , 即 软 盘 的 第 一 物理 扇 区 或 硬盘 的 第 一 逻辑 扇 区 ,是 引导 型 病毒 寄生 的 


具体 预防 措施 为 ,用 Bootsafe 等 实用 工具 或 DEBUG 编程 等 方法 对 干净 的 引导 肩 区 


ee 第 14 章 恶意 代码 与 计算 机 病毒 的 防治 mm 


进行 备份 。 备 份 既 可 用 于 监控 ,又 可 用 于 系统 恢复 。 监 控 是 比较 当前 引导 扇 区 的 内 容 和 
干净 的 备份 ,如 果 发 现 不 同 , 则 很 可 能 是 感染 了 病毒 。 
@ 计算 机 文件 ,包括 可 执行 的 程序 文件 、 含 有 宏 命 令 的 数据 文件 ,是 文件 型 病毒 寄生 
的 地 方 。 
具体 预防 措施 包括 以 下 几 项 : 
。 检查 . COM 和 . EXE 可 执行 文件 的 内 容 、 长 度 、 属 性 等 ,判断 是 否 感染 了 病毒 。 重 
点 检查 可 执行 文件 的 头 部 (前 20 个 字 节 左右 ) ,因为 病毒 主要 改写 文件 的 起 始 部 
分 。 病 毒 代码 可 能 就 在 文件 头 部 ,即使 在 文件 尾部 或 其 他 地 方 ,文件 头 部 中 也 必 
有 一 条 跳 转 指 令 指 向 病毒 代码 。 
。 对 于 新 购置 的 计算 机 软件 要 进行 病毒 检测 。 
。 定期 与 不 定期 地 进行 文件 的 备份 。 备 份 既 可 通过 比较 发 现 病毒 ,又 可 用 作 灾 难 
恢复 。 
。 为 了 预防 宏 病 毒 ,将 含有 宏 命 令 的 模板 文件 ,如 常用 的 Word 模板 文件 改 为 只 读 
属性 ,可 防止 Word 系统 被 感染 ,DOS 系统 下 的 autoexec. bat 和 config. sys 文件 
最 好 也 都 设 为 只 读 属性 文件 。 将 自动 执行 宏 功 能 禁止 掉 , 这 样 即 使 有 宏 病 毒 存 
在 ,但 无 法 激活 ,能 起 到 防止 病毒 发 作 的 效果 。 
@ 内 存 空间 ,病毒 在 传染 或 执行 时 ,必然 要 占用 一 定 的 内 存 空间 ,并 驻 留 在 内 存 中 ， 
等 待 时 机 再 进行 传染 或 攻击 。 
具体 预防 措施 为 ,采用 PCTOOLS、DEBUG 等 软件 工具 ,检查 内 存 的 大 小 和 内 存 中 
的 数据 来 判断 是 否 有 病毒 进入 。 
病毒 驻 留 内 存 后 ,为 了 防止 被 系统 覆盖 ,通常 要 修改 内 存 控制 块 中 的 数据 。 如 果 检 查 
出 来 的 内 存 可 用 空间 为 635KB, 而 真正 配置 的 内 存 空间 为 640KB, 则 说 明 有 5KB 内 存 空 
间 被 病毒 侵占 。 
系统 一 些 重 要 的 数据 和 程序 放 在 内 存 的 固定 位 置 ,如 DOS 系统 启动 后 ,BIOS、 变 量 、 
设备 驱动 程序 等 放 在 内 存 的 0:4000H~~0:4FFOH 区 域内 ,可 以 首先 检查 这 些 地 方 是 否 有 
异常 。 
@ 文件 分 配 表 (FAT) ,病毒 隐藏 在 磁盘 上 时 ,一 般 要 对 存放 的 位 置 做 出 “ 坏 簇 ” 标 志 
反映 在 FAT 表 中 。 
具体 预防 措施 为 ,检查 FAT 表 有 无 意外 坏 艇 来 判断 是 否 感染 了 病毒 。 
@ 中 断 向 量 ,病毒 程序 一 般 采 用 中 断 的 方式 执行 , 即 修改 中 断 变量 ,使 系统 在 适当 的 
时 候 转向 执行 病毒 程序 ,在 病毒 程序 完成 传染 或 破坏 目的 后 ,再 转 回执 行 原来 的 中 断 处 理 
程序 。 
有 具体 预防 措施 为 ,检查 中 断 向 量 有 无 变化 来 确定 是 否 感染 了 病毒 。 


2 病毒 免疫 技术 

病毒 具有 传染 性 。 一 般 情况 下 ,病毒 程序 在 传染 完 一 个 对 象 后 ,都 要 给 被 传染 对 象 加 
上 感染 标记 。 传 染 条 件 的 判断 就 是 检测 被 攻击 对 象 是 否 存 在 这 种 标记 .车 存在 这 种 标记 ， 
则 病毒 程序 不 对 该 对 象 进行 传染 ; 若 不 存在 这 种 标记 ,病毒 程序 就 对 该 对 象 实 施 传染 。 
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最 初 的 病毒 免疫 技术 就 是 利用 病毒 传染 这 一 机 理 , 给 正常 对 象 加 上 这 种 标记 ,使 之 具 
有 免疫 力 , 从 而 可 以 不 受 病 毒 的 传染 。 因 此 , 当 感 染 标记 用 作 免 疫 时 ,也 叫做 免疫 标记 。 
例如 ,使 用 这 种 技术 可 有 效 地 防御 香港 病毒 .1575 病毒 等 。 
然而 ,有 些 病毒 在 传染 时 不 判断 是 否 存在 感染 标记 .病毒 只 要 找到 一 个 可 传染 对 象 就 
进行 一 次 传染 。 就 像 黑 色 星 期 五 病毒 那样 ,一 个 文件 可 能 被 该 病毒 反复 传染 多 次 ,滚雪球 
一 样 越 滨 越 大 。 其 实 , 黑 色 星 期 五 病毒 的 程序 中 具有 判别 感染 标记 的 代码 ,由 于 程序 设计 
错误 ,使 判断 失效 ,形成 现在 的 情况 ,对 文件 会 反复 感染 ,感染 标记 形同虚设 。 
目前 ,常用 的 病毒 免疫 方法 有 两 种 : 
(1) 针对 某 一 种 病毒 进行 的 免疫 方法 
例如 ,对 小 球 病毒 ,在 DOS 引导 扇 区 的 IFCH 处 填 上 1357H ,小 球 病毒 一 检查 到 这 
个 标记 就 不 再 对 它 进行 传染 了 。 又 如 ,对 于 1575 文件 型 病毒 ,免疫 标记 是 文件 尾 的 内 容 
为 0CH 和 0AH 的 两 个 字 节 ,1575 病毒 车 发 现 文件 尾 含有 这 两 个 字 节 , 则 不 进行 传染 。 
这 种 方法 对 防止 某 一 种 特定 病毒 的 传染 行 之 有 效 , 但 也 存在 一 些 缺 点 ,主要 有 以 下 
几 点 : 
@ 对 于 不 设 有 感染 标记 的 病毒 不 能 达到 免疫 的 目的 ,这 种 病毒 会 无 条 件 传染 ,而 不 
论 被 传染 对 象 是 否 已 经 被 感染 过 或 者 是 否 具有 感染 标记 。 
@ 当 某 种 病毒 的 变种 不 再 使 用 其 感染 标记 时 ,或 出 现 新 病毒 时 , 现 有 免疫 标记 就 发 
挥 不 了 作用 。 
@ 一 些 病毒 的 感染 标记 不 容易 仿制 ,如 非 要 加 上 这 种 标记 不 可 , 则 对 原来 的 文件 要 
做 大 的 改动 。 例 如 ,对 大 麻 病毒 就 不 容易 做 免疫 标记 。 
@ 由 于 病毒 的 种 类 较 多 ,又 由 于 技术 上 的 原因 ,不 可 能 对 一 个 对 象 加 上 各 种 病毒 的 
免疫 标记 ,这 就 使 得 该 对 象 不 能 对 所 有 的 病毒 具有 免疫 作用 。 
@ 这 种 方法 能 阻止 传染 , 却 不 能 阻止 病毒 的 破坏 行为 ,仍然 放任 病毒 驻 留 在 内 存 中 。 
目前 使 用 这 种 免疫 方法 的 商品 化 防治 病毒 软件 已 不 多 见 了 。 
(2) 基于 自我 完整 性 检查 的 免疫 方法 
目前 ,这 种 方法 只 能 用 于 文件 而 不 能 用 于 引导 扇 区 。 这 种 方法 的 工作 原理 是 ,为 可 执 
行程 序 增加 一 个 免疫 外 壳 , 同 时 在 免疫 外 壳 中 记录 有 关 用 于 恢复 自身 的 信息 。 免 疫 外 壳 
占 1KB 至 3KB。 执 行 具有 这 种 免疫 功能 的 程序 时 ,免疫 外 壳 首 先 得 到 运行 ,检查 自身 的 
程序 大 小 、 校 验 和 、 生 成 日 期 和 时 间 等 情况 ,没有 发 现 异常 后 ,再 转 去 执行 受 保护 的 程序 。 
若 不 论 什么 原因 使 这 些 程序 本 身 的 特性 受到 改变 或 破坏 ,免疫 外 壳 都 可 以 检查 出 来 ,并 发 
出 告警 ,由 用 户 选 择 应 采取 的 措施 ,包括 自 毁 、 重 新 引导 启动 计算 机 、 自 我 恢复 后 继续 运 
行 。 这 种 免疫 方法 是 一 种 通用 的 自我 完整 性 检验 方法 . 它 不 只 是 针对 病毒 ,由 于 其 他 原因 
造成 的 文件 变化 同样 能 够 检查 出 来 .在 大 多 数 情 况 下 免疫 外 过 程序 都 能 使 文件 自身 得 到 
复原 。 
但 这 种 免疫 方法 也 有 其 缺点 和 不 足 , 归 纳 如 下 : 
Oz 每 个 受到 保护 的 文件 都 要 增加 1KB 至 3KB, 需 要 额外 的 存储 空间 。 
@ 现在 使 用 的 一 些 校 验 码 算法 不 能 满足 检测 病毒 的 需要 ,被 某 些 种 类 的 病毒 感染 的 
文件 不 能 被 检查 出 来 。 
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@ 无 法 对 付 覆 盖 式 的 文件 型 病毒 。 

@ 有 些 类 型 的 文件 不 能 使 用 外 加 免疫 外 壳 的 防护 方法 ,这样 会 使 那些 文件 不 能 正常 
执行 。 
@ 当 某 些 尚 不 能 被 病毒 检测 软件 检查 出 来 的 病毒 感染 了 一 个 文件 ,而 该 文件 又 被 免 
疫 外 壳 包 在 里 面 时 ,这 个 病毒 就 像 穿 了 “保护 盔甲 ”使 查 毒 软件 查 不 到 它 ,而 它 却 能 在 得 
到 运行 机 会 时 跑 出 来 继续 传染 扩散 。 

尽管 尚 不 存在 完美 和 通用 的 病毒 免疫 方法 ,但 它 在 病毒 防御 措施 中 仍 占 一 席 之 地 。 


3 病毒 检测 技术 

病毒 检测 就 是 采用 各 种 检测 方法 将 病毒 识别 出 来 。 识 别 病毒 包括 对 已 知 病毒 的 识别 
和 对 未 知 病毒 的 识别 。 目 前 ,对 已 知 病毒 的 识别 主要 采用 特征 判定 技术 , 即 静 态 判 定 技 
术 , 对 未 知 病毒 的 识别 除了 特征 判定 技术 外 ,还 有 行为 判定 技术 , 即 动态 判定 技术 。 

(1) 特征 判定 技术 

特征 判定 技术 是 根据 病毒 程序 的 特征 ,如 感染 标记 、 特 征程 序 段 内 容 \ 文 件 长 度 变化 、 
文件 校 验 和 变化 等 ,对 病毒 进行 分 类 处 理 , 而 后 在 程序 运行 中 凡 有 类 似 的 特征 点 出 现 , 则 
认定 是 病毒 。 

特征 判定 技术 主要 有 以 下 几 种 方法 : 

Q@ 比较 法 。 比 较 法 的 工作 原理 是 ,将 可 能 的 感染 对 象 (引导 扇 区 或 计算 机 文件 ) 与 其 
原始 备份 进行 比较 ,如 果 发 现 不 一 致 则 说 明 有 染 毒 的 可 能 性 。 这 种 比较 法 不 需要 专门 的 
查 毒 程序 ,用 常规 的 具有 比较 功能 的 (如 PCTOOLS 等 ) 工 具 软 件 就 可 以 进行 。 比 较 法 不 
仅 能 够 发 现 已 知 病毒 ,还 能 够 发 现 未 知 病毒 。 保 留 好 干净 的 原始 备份 对 于 比较 法 非常 重 
要 ;否则 比较 就 失去 了 意义 ,比较 法 也 就 不 起 作用 了 。 

比较 法 的 优点 是 简单 易 行 ,不 需要 专用 查 毒 软件 ,但 缺点 是 无 法 确认 发 现 的 异常 是 否 
真是 病毒 ,即使 是 病毒 也 不 能 识别 病毒 的 种 类 和 名 称 。 

@ 扫描 法 。 也 叫 搜索 法 ,其 工作 原理 是 ,用 每 一 种 病毒 代码 中 含有 的 特定 字符 或 字 
符 捉 对 被 检测 的 对 象 进行 扫描 ,如 果 在 被 检测 对 象 内 部 发 现 某 一 种 特定 字符 或 字符 串 , 则 
表明 发 现 了 该 字符 或 字符 串 代表 的 病毒 。 前 面 介绍 传染 机 制 时 提 到 的 感染 标记 就 是 一 种 
识别 病毒 的 特定 字符 。 实 现 这 种 扫描 的 软件 叫做 特征 扫描 器 。 根 据 扫描 法 的 工作 原理 ， 
特征 扫描 器 由 病毒 特征 码 库 和 扫描 引擎 两 部 分 组 成 。 病 毒 特征 码 库 包含 了 经 过 特别 选 定 
的 各 种 病毒 的 反映 其 特征 的 字符 或 字符 串 。 扫 描 引擎 利用 病毒 特征 码 库 对 检测 对 象 进行 
匹配 性 扫描 ,一 旦 有 匹配 便 发 出 告警 。 显 然 ,病毒 特征 码 库 中 的 病毒 特征 码 越 多 ,扫描 引 
擎 能 识别 的 病毒 也 就 越 多 。 病 毒 特 征 码 的 选择 非常 重要 ,一 定 要 具有 代表 性 ,也 就 是 说 ， 
在 不 同 环境 下 ,使 用 所 选 的 特征 码 都 能 够 正确 地 检查 出 它 所 代表 的 病毒 。 如 果 病 毒 特征 
码 选择 得 不 准确 ,就 会 带 来 误 报 ( 发 现 的 不 是 病毒 ) 或 漏 报 (真正 病毒 没有 发 现 ) 。 

特征 扫描 器 的 优点 是 能 够 准确 地 查 出 病毒 并 确定 病毒 的 种 类 和 名 称 ,为 消除 病毒 提 
供 了 确切 的 信息 ,但 其 缺点 是 只 能 查 出 载 和 人 病毒 特征 码 库 中 的 已 知 病毒 。 特 征 扫描 器 是 
目前 最 流行 的 病毒 防治 软件 。 随 着 新 病毒 的 不 断 发 现 ,病毒 特征 码 库 必须 不 断 丰 富 和 更 
新 。 现 在 绝 大 多 数 的 商业 病毒 防治 软件 商 ,提供 每 周 甚 至 每 天 一 次 的 病毒 特征 码 库 在 线 

285 


ee 第 3 篇 网 络 安全 技术 ES 


更 新 。 

@ 校 验 和 法 。 校 验 和 法 的 工作 原理 是 ,计算 正常 文件 内 容 的 校 验 和 ,将 该 校 验 和 写 
入 文件 中 或 写 入 别 的 文件 中 保存 。 在 文件 使 用 过 程 中 ,定期 地 或 每 次 使 用 文件 前 ,检查 文 
件 当 前 内 容 算 出 的 校 验 和 与 原来 保存 的 校 验 和 是 否 一 致 ,如 果 不 一 致 便 发 出 染 毒 报警 。 

这 种 方法 既 能 发 现 已 知 病毒 ,也 能 发 现 未 知 病毒 ,但 是 , 它 不 能 识别 病毒 种 类 ,不 能 报 
出 病毒 名 称 。 由 于 病毒 感染 并 非 文 件 内 容 改 变 的 唯一 的 排他 性 原因 ,文件 内 容 的 改变 有 
可 能 是 正常 程序 引起 的 ,如 软件 版 本 更 新 、 变 更 口令 以 及 修改 运行 参数 等 ,所 以 , 校 验 和 法 
常常 有 虚假 报警 ,而 且 此 法 也 会 影响 文件 的 运行 速度 。 另 外 , 校 验 和 法 对 某 些 隐蔽 性 极 好 
的 病毒 无 效 。 这 种 病毒 进驻 内 存 后 ,会 自动 剥 去 染 毒 程序 中 的 病毒 代码 ,使 校 验 和 法 受 
骗 ,对 一 个 有 毒 文件 算出 正常 校 验 和 。 因 此 , 校 验 和 法 的 优点 是 方法 简单 .能 发 现 未 知 病 
毒 、 被 查 文件 的 细微 变化 也 能 发 现 ; 其 缺点 是 必须 预先 记录 正常 态 的 校 验 和 ,会 有 虚假 报 
警 不 能 识别 病毒 名 称 不 能 对 付 某 些 隐蔽 性 极 好 的 病毒 。 

@ 分 析 法 。 分 析 法 是 针对 未 知 的 新 病毒 采用 的 技术 。 分 析 法 的 工作 过 程 如 下 : 

。 确认 被 检查 的 磁盘 引导 扇 区 或 计算 机 文件 中 是 否 含 有 病毒 。 

。 确认 病毒 的 类 型 和 种 类 ,判断 它 是 否 是 一 种 新 病毒 。 

。 分 析 病 毒 程序 的 大 致 结构 ,提取 识别 用 的 特征 字符 或 字符 串 , 用 于 添加 到 病毒 特 

征 码 库 中 。 

。 分 析 病 毒 程序 的 详细 结构 ,为 制定 相应 的 反 病 毒 措施 提供 方案 。 

分 析 法 对 使 用 者 的 要 求 很 高 ,不 但 要 具有 较 全 面 的 计算 机 及 操作 系统 的 知识 ,还 要 具 
备 专 业 的 病毒 方面 的 知识 。 一 般 使 用 分 析 法 的 人 不 是 普通 用 户 , 而 是 反 病 毒 技术 人 员 。 
使 用 分 析 法 需要 DEBUG 、Proview 等 分 析 工 具 程 序 和 专用 的 试验 用 计算 机 。 即 使 是 很 熟 
练 的 反 病毒 技术 人 员 ,使 用 功能 完善 的 分 析 软 件 , 也 不 能 保证 在 短 时 间 内 将 病毒 程序 完全 
分 析 清 楚 ,病毒 有 可 能 在 分 析 阶 段 继续 传染 其 至 改作, 毁坏 整个 软盘 或 硬盘 内 的 数据 , 因 
此 ,分 析 工 作 一 定 要 在 专用 的 试验 用 机 上 进行 。 很 多 病毒 采用 了 自 加 密 和 抗 跟踪 等 技术 ， 
使 得 分 析 病 毒 的 工作 经 常 是 宛 长 和 枯燥 的 ,特别 是 某 些 文件 型 病毒 的 程序 代码 长 达 
10KB 以 上 ,并 与 系统 牵扯 的 层次 很 深 , 使 详细 的 剖析 工作 变 得 十 分 复杂 。 

(2) 行为 判定 技术 

识别 病毒 是 以 病毒 的 机 理 为 基础 ,不 仅 识 别 现 有 病毒 ,而 且 以 现 有 病毒 的 机 理 设计 出 
对 一 类 病毒 (包括 基于 已 知 病毒 机 理 的 未 来 新 病毒 或 变种 病毒 ) 的 识别 方法 ,其 关键 是 对 
病毒 行为 的 判断 。 行 为 判定 技术 就 是 要 解决 如 何 有 效 辨别 病毒 行为 与 正常 程序 行为 ,其 
难点 在 于 如 何 快速 .准确 有效 地 判断 病毒 行为 。 如 果 处 理 不 当 , 就 会 带 来 虚假 报警 ,就 像 
“ 狼 来 了 ”的 寓言 一 样 ,频频 虚假 报警 的 后 果 是 报警 不 再 引起 用 户 的 警惕 。 另 外 ,防毒 对 于 
不 按 现 有 病毒 机 理 设 计 的 新 病毒 也 可 能 无 能 为 力 , 如 在 DIR2 病毒 出 现 之 前 推出 的 防 病 
毒 软件 ,几乎 没有 一 个 能 控制 该 病毒 ,原因 就 在 于 该 病毒 的 机 理 已 经 超出 当时 的 防 病毒 软 
件 所 考虑 的 范围 。 如 今 ,该 病毒 的 机 理 已 被 人 们 认识 ,所 以 新 推出 的 防 病毒 软件 和 防 病毒 
卡 , 几 乎 没有 一 个 不 能 控制 该 病毒 及 其 变种 病毒 的 。 

行为 监测 法 是 常用 的 行为 判定 技术 ,其 工作 原理 是 利用 病毒 的 特有 行为 特性 进行 监 
测 ,一 旦 发 现 病毒 行为 则 立即 报警 。 经 过 对 病毒 多 年 的 观察 和 研究 ,人 们 发 现 病毒 的 一 些 
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行为 是 病毒 的 共同 行为 ,而 且 比 较 特殊 。 在 正常 程序 中 ,这 些 行为 比较 罕见 。 监 测 病毒 的 
行为 特征 列举 如 下 : 

@ 占用 INT 13H。 引 导 型 病毒 攻击 引导 扇 区 后 ,一般 都 会 占用 INT 13H 功能 ,在 其 
中 放置 病毒 所 需 的 代码 ,因为 其 他 系统 功能 还 未 设置 好 ,无 法 利用 。 

@ 修改 DOS 系统 数据 区 的 内 存 总 量 。 病 毒 常 驻 内 存 后 ,为 了 防止 DOS 系统 将 其 覆 
盖 , 必 须 修 改 内 存 总 量 。 

@ 向 .COM 和. EXE 可 执行 文件 做 写 人 动作 。 写 . COM 和 . EXE 文件 是 文件 型 病毒 
的 主要 感染 途径 之 一 。 

@ 病毒 程序 与 宿主 程序 的 切换 。 染 毒 程序 运行 时 , 先 运 行 病毒 ,而 后 执行 宿主 程序 。 
在 两 者 切换 时 ,有 许多 特征 行为 。 

行为 监测 法 的 长 处 在 于 可 以 相当 准确 地 预报 未 知 的 多 数 病毒 ,但 也 有 其 短处 , 即 可 能 
虚假 报警 和 不 能 识别 病毒 名 称 ,而 且 实 现 起 来 有 一 定 难 度 。 

不 管 采用 哪 种 判定 技术 ,一 旦 病毒 被 识别 出 来 ,就 可 以 采取 相应 措施 ,阻止 病毒 的 下 
列 行为 : 进入 系统 内 存 、 对 磁盘 操作 尤其 是 写 操作 .进行 网 络 通信 与 外 界 交换 信息 。 一 方 
面 防止 外 界 病毒 向 机 内 传染 , 另 一 方面 抑制 机 内 病毒 向 外 传播 。 


4 病毒 消除 技术 

病毒 消除 的 目的 是 清除 受害 系统 中 的 病毒 .恢复 系统 的 原始 无 毒 状态 。 具 体 来 讲 , 就 
是 针对 系统 中 的 病毒 寄生 场所 或 感染 对 象 进行 一 一 杀毒 。 对 于 不 同 的 病毒 类 型 及 其 感染 
对 象 ,采取 不 同 的 杀毒 措施 。 

(1) 消除 引导 型 病毒 

引导 型 病毒 的 物理 载体 是 磁盘 ,主要 包括 系统 软盘 .数据 软盘 和 硬盘 。 

@ 修复 染 毒 的 系统 软盘 。 找 一 台 同 样 操作 系统 的 未 染 毒 的 计算 机 ,把 染 毒 的 系统 软 
盘 插 入 软盘 驱动 器 中 ,从 硬盘 执行 可 以 对 软盘 重新 写 和 人 系统 的 命令 ,如 DOS 系统 情况 下 
的 SYS A: 命令 。 这 样 软盘 上 的 系统 文件 就 会 被 重新 安装 ,并 且 获 盖 引 导 扁 区 中 染 毒 的 
内 容 , 从 而 恢复 成 为 干净 的 系统 软盘 。 

@ 修复 染 毒 的 数据 软盘 。 把 染 毒 的 数据 软盘 插入 一 台 未 染 毒 的 计算 机 中 ,把 所 有 文 
件 从 软盘 复制 到 硬盘 的 一 个 临时 目录 中 .用 系统 磁盘 格式 化 命令 ,如 DOS 系统 情况 下 的 
FORMAT A:/U 命令 ,无 条 件 重新 格式 化 软盘 ,这 样 软盘 的 引导 扇 区 会 被 重 写 ,从 而 清 
除 其 中 的 病毒 。 然 后 把 所 有 文件 备份 复制 回 到 软盘 。 

@ 修复 染 毒 的 硬盘 。 硬 盘 中 操作 系统 的 引导 扇 区 包括 第 一 物理 扇 区 和 第 一 逻辑 扇 
区 。 硬 盘 第 一 物理 扇 区 存放 的 数据 是 主 引导 记录 (MBR) ,MBR 包含 表明 硬件 类 型 和 分 
区 信息 的 数据 。 硬 盘 第 一 逻辑 扇 区 存放 的 数据 是 分 区 引导 记录 。 主 引导 记录 和 分 区 引导 
记录 都 有 感染 病毒 的 可 能 性 。 重 新 格式 化 硬盘 可 以 清除 分 区 引导 记录 中 的 病毒 , 却 不 能 
清除 主 引导 记录 中 的 病毒 。 修 复 染 毒 的 主 引导 记录 的 有 效 途径 是 使 用 FDISK 这 种 低级 
格式 化 工具 ,输入 FDISK/MBR , 便 会 重新 写 入 主 引 导 记 录 , 履 盖 掉 其 中 的 病毒 。 

以 上 均 是 采用 人 工 方法 清除 引导 型 病毒 。 人 工 方法 要 求 操作 者 对 系统 十 分 熟悉 , 且 
操作 复杂 ,容易 出 错 , 有 一 定 的 危险 性 ,一 旦 操作 不 慎 就 会 导致 意 想不到 的 后 果 。 这 种 方 
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法 常用 于 消除 自动 方法 无 法 消除 的 新 病毒 。 

另外 一 种 是 自动 方法 ,针对 某 一 种 或 多 种 病毒 采用 专门 的 病毒 防治 软件 自动 检测 和 
消除 病毒 。 这 种 方法 不 会 破坏 系统 数据 ,操作 简单 ,运行 速度 快 ,是 一 种 较为 理想 且 目 前 
较为 通用 的 病毒 防治 方法 。 

大 多 数 病 毒 防治 软件 能 够 检测 和 清除 已 知 的 引导 型 病毒 。 通 过 监测 磁盘 的 引导 扇 
区 ,包括 硬盘 的 主 引导 记录 (MBR) .可 以 自动 检测 出 病毒 .并 准确 识别 病毒 ,包括 病毒 的 
类 型 和 名 称 ; 然 后 自动 修复 被 感染 的 引导 扇 区 。 

(2) 消除 文件 型 病毒 

文件 型 病毒 的 载体 是 计算 机 文件 ,包括 可 执行 的 程序 文件 和 含有 宏 命令 的 数据 文件 。 

修复 染 毒 的 可 执行 文件 最 有 效 的 方法 是 用 干净 的 备份 代替 它 。 如 果 没 有 备份 ,就 使 
用 病毒 防治 软件 进行 检测 .杀毒 并 修复 。 对 于 被 非 覆 盖 型 病毒 感染 的 文件 ,病毒 防治 软件 
有 可 能 将 其 修复 ,但 对 于 覆盖 型 病毒 就 无 能 为 力 了 。 

非 覆 盖 型 病毒 感染 可 执行 文件 时 ,只 是 将 自身 附加 到 感染 对 象 的 头 部 或 尾部 或 其 他 
空白 地 方 , 并 没有 破坏 文件 的 有 效 内 容 , 而 且 必 须 存 放 有 关 宿 主 程序 的 特定 信息 ,以 便 自 
己 执行 完 后 把 控制 权 交 还 给 原来 的 程序 。 因 此 ,病毒 防治 软件 可 以 根据 这 一 特定 信息 定 
位 病毒 ,然后 “ 顺 芯 摸 瓜 ”, 将 病毒 从 文件 中 “ 切 掉 ”。 

(3) 消除 宏 病 毒 

宏 病 毒 是 一 种 文件 型 病毒 ,其 载体 是 含有 宏 命令 的 数据 文件 一 一 文档 或 模板 。 

手工 清除 方法 为 : 

@ 在 空 文档 的 情况 下 ,打开 宏 菜单 ,在 通用 模板 中 删除 被 认为 是 病毒 的 宏 。 

@ 打开 带 有 病毒 宏 的 文档 或 模板 ,然后 打开 宏 菜单 ,在 通用 模板 和 定制 模板 中 删除 
认为 是 病毒 的 宏 。 

@ 保存 清洁 的 文档 或 模板 。 

自动 清除 方法 有 : 

@ 用 WordBasic 语言 以 Word 模板 方式 编制 杀毒 工具 ,在 Word 环境 中 杀毒 。 这 种 
方法 杀毒 准确 ,兼容 性 好 。 

Word-VRV 就 是 采用 这 种 方法 的 典型 杀毒 工具 。Word-VRV 由 WORDVRV. DOT 
(用 于 中 文 版 Word) .EWORD-VRV. DOT( 用 于 英文 版 Word) 和 README. EXE 3 个 文 
件 组 成 。Word-VRV 是 个 可 自 升级 的 Word 杀毒 器 ,可 自动 检测 并 清除 Word 模板 中 的 
病毒 。Word-VRV 允许 用 户 通 过 编辑 WORDVRV. DAT 文件 ,自我 扩充 新 的 宏 病 毒 特 
征 , 来 杀 除 新 的 宏 病 毒 。 

@ 根据 WordBFF 格式 ,在 Word 环境 外 解剖 病毒 文档 或 模板 ,去 掉 病 毒 宏 。 由 于 各 
个 版 本 的 WordBFF 格式 都 不 完全 兼容 ,每 次 Word 升级 它 也 必须 跟着 升级 ,兼容 性 不 
太 好 。 

(4) 消除 蠕虫 病毒 

蠕虫 病毒 是 蠕虫 和 病毒 的 混合 体 , 即 具有 病毒 的 传染 机 制 ,又 具有 蠕虫 的 自我 复制 
和 网 络 传播 的 机 制 。 消 除 蠕 虫 病毒 从 本 机 杀毒 和 网 络 封锁 两 个 方面 同时 进行 , 才 是 万 
全 之 策 。 清 除了 本 机 病毒 ,就 消灭 了 病毒 源 ;截获 了 网 络 蠕虫 ,就 切断 了 病毒 的 网 络 传 
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播 途径 。 

中 清除 本 机 病毒 。 根 据 病毒 的 感染 对 象 ,采取 上 述 相 应 的 人 工 或 自动 杀毒 方法 。 

@ 截获 网 络 蠕虫 。 在 网 络 入 出口 处 ,特别 是 电子 邮件 的 收发 ,采取 人 工 的 或 自动 的 
方法 截获 蠕虫 。 人 工 的 方法 是 ,网 络 管理 员 和 电子 邮件 用 户 ,根据 蠕虫 病毒 的 活动 规律 ， 
主动 识别 收发 信息 中 的 蠕虫 病毒 ,主要 是 病毒 防治 软件 不 能 识别 的 可 疑 的 或 新 的 蠕虫 病 
毒 。 自 动 的 方法 是 ,在 网 络 和 出口 处 ,安装 病毒 防治 软件 ,监控 入 出 信息 ,一 旦 发 现 病毒 ， 
立即 截获 并 消除 。 


1432 病毒 防治 的 部 署 


有 效 的 病毒 防治 部 署 是 采用 基于 网 络 的 多 层次 的 病毒 防御 体系 。 该 体系 在 整个 网 络 
系统 的 各 组 成 环节 处 ,包括 客户 端 \ 服 务 器 、Internet 网 关 和 防火 墙 ,设置 防线 ,形成 多 道 
防线 。 即 使 病毒 突破 了 一 道 防线 ,还 有 第 二 ,三 道 防线 拦截 ,因此 ,能 够 有 效 地 遏制 病毒 在 
网 络 上 的 扩散 。 

(1) 客户 端 防线 

客户 端 主要 是 指 用 户 桌 面 系统 和 工作 站 ,它们 是 主要 的 病毒 感染 源 。 因 此 ,有 必要 在 
客户 端 实 施 面向 桌面 系统 和 工作 站 的 病毒 防治 措施 ,增强 客户 端 系统 的 抗 病毒 能 力 。 对 
于 有 相当 规模 的 企业 网 络 系统 ,工作 站 的 病毒 防治 系统 应 该 具有 集中 管理 ,统一 策略 、 同 
时 更 新 和 自动 运行 的 特点 。 

(2) 服务 器 防线 

服务 器 是 基于 网 络 的 各 种 服务 的 提供 者 ,被 大 量 的 在 线 用 户 访问 ,一旦 染 毒 , 其 后 果 
将 不 堪 设 想 。 因 此 ,非常 有 必要 在 服务 器 实施 最 严格 的 病毒 防治 措施 ,确保 服务 器 系统 的 
万 无 一 失 。 尤 其 ,对 于 电子 邮件 服务 器 ,如 Microsoft Exchange 和 Lotus Notes/Domino 
服务 器 ,要 特别 重点 保护 ,因为 电子 邮件 是 目前 传播 最 快 ,范围 最 广 、 危 害 最 大 的 蠕虫 病毒 
的 最 主要 的 传播 途径 。 

(3) Internet 网 关 防 线 

在 Internet 网 关 处 装备 病毒 扫描 器 可 有 效 地 对 付 以 Internet 应 用 为 载体 的 病毒 , 包 
括 通过 电子 邮件 传播 的 病毒 。 

(4) 防火 墙 防线 

在 防火 墙 设置 病毒 扫描 器 ,可 以 扫描 到 经 过 防火 墙 的 所 有 网 络 数 据 帧 ,因此 ,有 条 件 
全 面 地 检测 和 阻止 内 外 网 络 交接 处 的 病毒 。 


1433 病毒 防治 的 管理 

病毒 防治 不 仅 是 技术 问题 ,更 是 社会 问题 ,管理 问题 和 教育 问题 。 作 为 社会 问题 , 涉 
及 国家 法 律 和 行政 法 规 ;作为 管理 问题 ,涉及 管理 制度 ,行为 规章 和 操作 规程 ;作为 教育 问 
题 ,涉及 宣传 和 培训 。 因 此 ,要 做 到 以 下 几 点 : 

。 建 立 和 健全 相应 的 国家 法 律 和 法 规 ; 

。 建 立 和 健全 相应 的 管理 制度 和 规章 ; 

。 加 强 和 普及 相应 的 知识 宣传 和 培训 。 
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1434 病毒 防治 软件 


1 病毒 防治 软件 的 类 型 

病毒 防治 软件 按 其 查 毒 杀毒 机 制 可 分 为 以 下 3 种 类 型 ; 

(1) 病毒 扫描 型 

病毒 扫描 型 软件 采用 特征 扫描 法 ,根据 病毒 特征 扫描 可 能 的 感染 对 象 来 发 现 病毒 。 
这 类 软件 具有 检测 速度 快 . 误 报 率 低 和 准确 度 高 的 优点 , 正 因为 能 准确 识别 已 知 病毒 ,所 
以 对 被 已 知 病毒 感染 的 程序 和 数据 一 般 都 能 恢复 。 但 是 ,要 一 直 保证 病毒 防治 的 有 效 性 ， 
病毒 特征 码 库 和 扫描 引擎 必须 经 常 升 级 ,以 便 跟 上 病毒 技术 和 反 病 毒 技术 的 发 展 。 病 毒 
防治 软件 中 以 病毒 扫描 型 为 主 , 是 最 为 流行 的 产品 。 

(2) 完整 性 检查 型 

完整 性 检查 型 软件 采用 比较 法 和 校 验 和 法 ,监视 观察 对 象 (包括 引导 扇 区 和 计算 机 文 
件 等 ) 的 属性 (包括 大 小 .时 间 、 日 期 和 校 验 和 等 ) 和 内 容 是 否 发 生 改 变 , 如 果 检 测 出 变化 ， 
则 观察 对 象 极 有 可 能 已 遭 病毒 感染 。 遗 憾 的 是 这 类 软件 只 能 在 发 生病 毒 感染 之 后 ,才能 
发 现 病毒 ,而 且 “ 误 诊 ” 率 相对 较 高 ,这 是 因为 正常 的 程序 升级 和 设置 改变 等 原因 都 可 以 导 
致 * 误 诊 ”。 另 外 ,尽管 这 类 软件 不 能 报 出 病毒 的 类 型 和 名 称 , 但 能 够 发 现 多 态 病 毒 和 新 的 
未 知 病毒 ,所 以 反 病 毒 的 能 力 相当 强 。 

(3) 行为 封锁 型 

行为 封锁 型 软件 采用 驻 留 内 存在 后 台 工 作 的 方式 ,监视 可 能 因 病 毒 引 起 的 异常 行为 ， 
如 果 发 现 异常 行为 , 便 及 时 警告 用 户 , 由 用 户 决 定 该 行为 是 否 继续 。 这 类 软件 试图 阻止 任 
何 病毒 的 异常 行为 ,因此 可 以 防止 新 的 未 知 病毒 的 传播 和 破坏 。 当 然 , 有 的 "可疑 行 为 "是 
正常 的 ,所 以 出 现 “ 误 诊 ” 总 是 难免 的 。 

这 种 监视 技术 的 进一步 发 展 和 完善 就 是 智能 式 探测 器 。 在 智能 式 探测 器 中 ,设计 有 
病毒 行为 知识 库 、 应 用 人 工 智 能 技术 、 有 效 判 别 正常 程序 行为 和 病毒 程序 行为 。 误 报 率 的 
高 低 取决 于 行为 知识 库 选 取 的 合理 性 。 目 前 ,有 些 病毒 防治 卡 采用 了 这 种 技术 ,设计 有 病 
毒 特征 码 库 (静态 ) ,病毒 行为 知识 库 ( 动 态 )、 受 保护 对 象 行为 知识 库 ( 动 态 ) 等 多 个 知识 库 
及 相应 的 可 变 推理 机 ,通过 调整 推理 机 ,能 够 对 付 新 类 型 病毒 ,减少 误 报 和 漏 报 。 这 是 未 
来 病毒 防治 技术 的 一 个 发 展 方向 。 


2 病毒 防治 软件 的 选 购 

选 购 病毒 防治 软件 时 ,需要 注意 的 指标 包括 检测 速度 .识别 率 、 清 除 效果 、 可 管理 性 、 
操作 界面 友好 性 、 升 级 难 易 度 .技术 支持 水 平等 诸多 方面 。 

(1) 检测 速度 

对 于 采用 特征 扫描 法 检测 病毒 的 ,一 般 选 择 每 30 秒 能 够 扫描 1000 个 文件 以 上 的 病 
毒 防治 软件 。 

(2) 识别 率 

识别 率 越 高 , 误 报 率 和 漏 报 率 也 就 越 低 。 可 通过 使 用 一 定数 量 的 病毒 样本 进行 测试 
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来 鉴别 识别 率 的 高 低 , 测 试 环境 应 达到 正规 的 病毒 样本 测试 数量 在 10 000 种 以 上 ,每 种 
病毒 的 变种 数量 在 200 种 以 上 。 

(3) 清除 效果 

可 靠 、 有 效 地 清除 病毒 ,并 保证 数据 的 完整 性 ,是 一 件 非常 必要 且 复 杂 的 工作 。 

Q@ 对 于 被 感染 的 引导 扇 区 , 虽 不 一 定 要 求 恢复 被 破坏 软盘 的 引导 功能 ,但 要 求 能 够 
恢复 被 破坏 硬盘 的 引导 过 程 ;否则 不 能 算 病毒 清除 成 功 。 

@ 对 于 被 感染 的 可 执行 文件 .不 必要 求 清除 后 的 文件 与 正常 文件 一 模 一 样 ,只 要 可 
以 正常 .正确 地 运行 即 可 。 

@ 对 于 含有 宏 病 毒 的 文档 文件 ,要 求 能 够 清除 其 中 的 宏 病 毒 ,保留 正常 的 宏 
语句 。 
@ 对 于 病毒 的 变种 ,优秀 的 病毒 防治 软件 不 仅 能 够 正确 识别 已 有 的 病毒 变种 ,而且 
也 能 够 修复 感染 对 象 , 使 其 正常 工作 。 测 试 病毒 防治 软件 对 病毒 变种 的 适应 能 力 ,是 对 产 
品质 量 和 技术 水 平 的 最 好 评估 。 


3 病毒 防治 软件 产品 

下 面 列 出 国内 外 主要 的 病毒 防治 产品 及 其 查询 网 址 。 
(1) 国外 病毒 防治 产品 

@ VirusScan ,网址 http://www. mcafeeb2b. com/。 
@ NAV, 网 址 http://www. symantec. com/。 

©®@ Pandaguard, 网 址 http://www. pandaguard. com/ 。 
(2) 国内 病毒 防治 产品 

@ KILL, 网 址 http://www. kill. com. cn/。 

©@ KV, 网 址 http://www. jiangmin. com/。 

@ RAV, 网 址 http://www. rising. com. cn/。 

@ VRV, 网 址 http://www. vrv. com. cn/。 


14.4 ”本 章 小 结 


恶意 代码 是 指 黑客 编写 的 扰乱 社会 和 他 人 其 至 起 着 破坏 作用 的 计算 机 程序 ,计算 机 
病毒 是 恶意 代码 中 最 常见 的 一 种 。 为 了 保障 计算 机 系统 和 网 络 的 正常 运行 ,有 必要 懂得 
亚 意 代码 与 计算 机 病毒 的 基本 概念 .工作 原理 和 防止 措施 。 

恶意 代码 按照 是 否 需 要 宿主 和 是 否 能 够 自我 复制 分 为 4 大 类 : 

(1) 不 感染 的 依附 性 恶意 代码 ,包括 特洛伊 木马 .逻辑 炸弹 、 后 门 或 陷 门 等 。 

(2) 不 感染 的 独立 性 恶意 代码 ,包括 点 滴 器 、 繁 殖 器 、 恶 作 剧 等 。 

(3) 可 感染 的 依附 性 恶意 代码 ,主要 是 病毒 。 

(4) 可 感染 的 独立 性 恶意 代码 ,包括 蠕虫 .细菌 等 。 
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计算 机 病毒 的 基本 特征 有 传染 性 、 隐 蔽 性 、 潜 伏 性 、 多 态 性 和 破坏 性 。 计 算 机 病毒 主 
要 由 潜伏 机 制 、 传 染 机 制 和 表现 机 制 构成 。 

恶意 代码 或 计算 机 病毒 的 防治 应 采取 “以 防 为 主 、 与 治 结合 、 互 为 补充 ”的 策略 ,不 可 
偏 废 任何 一 方面 。 病 毒 防治 技术 包括 预防 技术 、 免 疫 技 术 、 检 测 技 术 和 消除 技术 。 有 效 的 
病毒 防治 部 署 采 用 基于 网 络 的 多 层次 的 病毒 防御 体系 。 

病毒 防治 不 仅 是 技术 问题 ,更 是 社会 问题 .管理 问题 和 教育 问题 ,应 建立 和 健全 相应 
的 国家 法 律 和 法 规 , 建 立 和 健全 相应 的 管理 制度 和 规章 ,加 强 和 普及 相应 的 知识 宣传 和 
培训 。 

病毒 防治 软件 按 其 查 毒 杀毒 机 制 分 为 病毒 扫描 型 .完整 性 检查 型 和 行为 封锁 型 。 选 
购 病毒 防治 软件 时 ,需要 注意 的 指标 包括 检测 速度 、 识 别 率 、 清 除 效 果 、 可 管理 性 、 操 作 界 
面 友好 性 、 升 级 难 易 度 、 技 术 支 持 水 平等 诸多 方面 。 


习 题 


1. 夯 出 下 面 恶 意 代 码 类 别 与 实例 的 对 应 关系 。 


类 别 实例 

A. 不 感染 .依附 性 后 门 (backdoor) 

B. 不 感染 ,独立 性 点 滴 器 (dropper) 

C. 可 感染 ,依附 性 繁殖 器 (generator) 

D. 可 感染 、 独 立 性 细菌 (germ) 

恶作剧 (hoax) 

逻辑 炸弹 (logic bomb) 
陷 门 (trapdoor) 
特洛伊 木马 (Trojan horse) 
病毒 (virus) 

蠕虫 (worm) 
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2. 计算 机 病毒 有 哪些 基本 特征 ? 

3. 计算 机 病毒 主要 由 (机制 ) 机 制 和 ( ) 机 制 构 成 。 

4. 计算 机 病毒 按 连 接 方式 分 为 ( )( )、( ) 和 ( ), 按 破坏 性 质 分 为 ( ) 和 
( ), 按 感染 方式 分 为 ( )、( ) 和 ( )。 


A. 良性 病毒 B. 源码 型 病毒 C. 恶性 病毒 
D. 嵌入 型 病毒 E. 引导 型 病毒 F. 外 壳 型 病毒 
G. 文件 型 病毒 H. 混合 型 病毒 I. 操作 系统 型 病毒 


5. 宏 病 毒 属于 哪 种 类 型 的 病毒 ? 

6. 病毒 防治 技术 分 为 * 防 ”和 “ 治 ” 两 部 分 。“ 防 ” 毒 技术 包括 ( ) 技 术 和 ( ) 技 术 ; 
“ 治 ” 毒 技术 包括 ( ) 技 术 和 ( ) 技 术 。 

7. 计算 机 病毒 特征 判定 技术 有 ( ) 法 、( ) 法 、( ) 法 和 ( ) 法 。 
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8. 基于 网 络 的 多 层次 的 病毒 防御 体系 中 设置 的 多 道 防线 包括 ( ) 防 线 ,( ) 防 线 、 
( ) 防 线 和 ( ) 防 线 。 

9 病毒 防治 不 仅 是 技术 问题 ,更 是 ( ) 问 题 \ ) 问 题 和 ( ) 问 题 。 

10. 病毒 防治 软件 的 类 型 分 为 ( ) 型 ( ) 型 和 ( ) 型 。 
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第 15 便 . 
系统 平台 安全 


本 章 要 点 : 

。 系统 平台 的 概念 ,种 类 及 安全 风险 ; 

。 系统 平台 通用 加 固 指南 及 工具 ; 

。 Windows Server 2000 及 UNIX 系统 安全 设置 和 管理 。 


i151 ”系统 平台 概述 


1511 系统 平台 的 概念 


系统 平台 是 指 网 络 操作 系统 (network operating system，NOS) 平 台 , 即 使 网 络 上 各 
计算 机 能 方便 而 有 效 地 共享 网 络 资源 ,为 网 络 用 户 提 供 所 需 的 各 种 服务 软件 和 有 关 规 程 
的 集合 。 因 此 ,网 络 操作 系统 可 使 一 台 计 算 机 上 的 应 用 去 访问 接 在 同一 网 上 的 另 一 台 计 
算 机 上 的 资源 。 

网 络 操作 系统 除了 应 具有 通常 操作 系统 应 具有 的 处 理 机 管理 .存储 器 管理 .设备 管 
和 文件 管理 外 ,还 应 具有 以 下 两 大 功能 : 高 效 、 可 靠 的 网 络 通 信和 能 力 ; es 
如 远程 作业 录入 与 处 理 的 服务 功能 文件 传输 服务 功能 和 远程 打印 服务 功能 。 

网 络 操作 系统 有 两 个 基本 的 要 求 : 允许 在 局 域 网 上 的 资源 共享 ;要 使 现 有 的 PC 操作 
系统 仍 能 继续 运行 , 且 不 需 做 任何 改变 。 为 了 满足 这 两 个 基本 要 求 ,有 两 个 主要 组 成 ,最 
主要 的 组 成 是 控制 服务 器 的 操作 ,管理 存储 在 服务 器 上 的 文件 。 不 同 于 PC 操作 系统 的 
运行 环境 ,在 网 上 有 多 个 用 户 在 争 用 网 上 共享 的 资源 ,不 同 用 户 有 不 同 的 作业 ,因此 网 络 
操作 系统 需要 支持 多 用 户 和 多 任务 。 第 二 个 组 成 是 运行 在 客户 系统 的 软件 ,使 客户 能 访 
问 网 络 及 网 上 资源 ,而 这 些 资源 和 服务 由 网 上 服务 器 提供 。 

目前 , 较 流行 的 网 络 操作 系统 有 Windows 9x 系列 、Windows NT/2000/XP/2003/ 
Vista 系列 .UNIX 系列 、Linux 系列 及 NetWare 系列 。 


1512 系统 平台 的 种 类 


网 络 操作 系统 的 主要 功能 是 实现 资源 共享 。 根 据 共享 资源 的 方式 不 同 ,网 络 操作 系 
统 划 分 为 两 大 类 型 。 如 果 网 络 操作 系统 软件 相等 地 分 布 在 网 络 上 的 所 有 结 点 ,这 种 机 制 
下 的 网 络 操作 系统 称 之 为 对 等 式 网 络 操作 系统 ;如 果 网 络 操作 系统 的 主要 部 分 驻 留 在 中 
心 结 点 , 则 称 为 集中 式 网 络 操作 系统 。 集 中 式 网 络 操作 系统 下 的 中 心 结 点 称 为 服务 器 ,使 
用 由 中 心 结 点 所 管理 资源 的 应 用 称 为 客户 。 因 此 ,集中 式 网 络 操作 系统 下 的 运行 机 制 就 
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是 人 们 平常 所 谓 的 “客户 端 /服务 器 ”方式 。 因 为 客户 软件 运行 在 工作 站 上 ,所 以 人 们 有 时 
将 工作 站 称 为 客户 。 其 实 只 有 使 用 服务 的 应 用 才能 称 为 客户 ,向 应 用 提供 服务 的 应 用 或 
系统 软件 才能 称 为 服务 器 。 

对 等 式 网 络 操作 系统 有 多 种 ,如 Novell 公司 的 Personal NetWare,Invisible Software 
公司 的 Invisible LAN3. 44,Microsoft 公司 的 Windows for Workgroup 3. 11、Windows 
9x 等 。 用 户 期 待 对 等 式 网 络 比 客户 端 /服务 器 更 容易 操作 ,安装 尽量 简单 ,管理 更 加 方 
便 , 具 有 内 建 的 生产 工具 ,并 具有 一 定 的 安全 级 别 , 以 防止 敏感 性 数据 受 损害 。 

集中 式 网 络 操作 系统 也 有 多 种 ,如 Novell 公司 的 NetWare 3. x、4. x、5. xX\6. x， 
Microsoft Windows NT/2000/2003,IBM OS/2 LAN Server Advanced 3. 0 和 Banyan 
Vines 等 都 属于 集中 式 网 络 操作 系统 。 这 种 以 客户 端 /服务 器 方式 操作 的 网 络 操作 系统 ， 
由 于 顺应 20 世纪 90 年 代 的 计算 模式 ,发展 非常 迅速 。 网 络 操作 系统 的 功能 比 以 前 传统 
上 只 提供 文件 和 打印 共享 的 系统 有 了 很 大 提高 。 例 如 Novell 公司 的 4. x 不 再 将 网 络 看 
成 一 组 无 联系 的 服务 器 和 服务 ,而 是 将 其 看 作 单 个 实体 ,同时 还 增加 了 完全 符合 X. 500 
原理 的 目录 服务 等 重要 功能 。 


1. NetWere 系列 

NetWare 是 运行 在 Intel 处 理 器 平台 上 的 网 络 操作 系统 ,经 过 近 20 年 开发 , NetWare 
经 历 了 NetWare 2. x,NetWare 3. x, NetWare 4. x,NetWare 5. x 及 NetWare 6. x 一 系列 
阶段 。 作 为 典型 的 集中 式 网 络 操 作 系 统 ,NetWare 由 服务 器 及 桌面 客户 机 组 成 。 


2 微软 Windows 系列 

Windows 系列 网 络 操 作 系 统 既 有 点 对 点 的 对 等 网 络 操 作 系 统 , 又 有 集中 式 服 务 器 操 
作 系 统 。Windows 9x/Me, Windows NT/2000 Workstation 及 Windows XP 
Professional/ Home 代表 了 当今 流行 的 点 对 点 的 对 等 桌面 操作 系统 ,而 Windows NT/ 
2000/2003 Server 则 代表 了 服务 器 操作 系统 。 


3 UNX 操 作 系 统 

严格 来 讲 ,UNIX 不 是 网 络 操作 系统 ,但 由 于 它 能 支持 通信 功能 ,并 提供 一 些 大 型 服 
务 器 操作 系统 的 功能 ,因此 也 可 把 它 作为 NOS。UNIX 的 一 个 很 大 特点 是 灵活 性 ,这 使 
硬件 制造 商 和 软件 开发 者 普遍 采用 UNIX。 但 同时 带 来 的 问题 是 可 移植 性 差 ,灵活 性 和 
可 移植 性 是 一 对 矛盾 。 为 了 解决 兼容 性 ,各 个 主要 计算 机 厂商 成 立 了 一 个 协调 组 ,致力 于 
形成 一 个 统一 的 UNIX 系统 版 本 ,这 些 厂 商 包 括 IBM、HP、Novell 以 及 SCO, 组 成 了 一 个 
名 为 COSE (Common Open Software Environment, 公 用 开放 软件 环境 ) 的 组 织 , 从 事 这 
项 工作 。 


4 Linx 操 作 系 统 
Linux 操作 系统 是 UNIX 操作 系统 在 微机 上 的 实现 , 它 是 由 芬兰 赫尔辛基 大 学 的 
Linus Torvalds 于 1991 年 开始 开发 的 ,并 在 网 上 免费 发 行 。Linux 是 一 个 完全 多 任务 .多 
用 户 的 操作 系统 ,允许 多 用 户 同 时 登录 到 一 台 机 器 上 同时 运行 多 道 程序 。Linux 在 源 代 
码 级 几乎 与 一 些 UNIX 标准 兼容 ,其 中 包括 IEEE POSIX. 1、.AT&.T 系统 V 和 BSD。 在 
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它 的 开发 过 程 中 一 直 以 源 代码 的 可 移植 性 为 原则 。 


1513 系统 平台 的 安全 风险 


风险 是 威胁 和 漏洞 的 组 合 ,如 果 没 有 漏洞 ,也 就 没有 风险 。 每 个 平台 无 论 是 硬件 或 软 
件 ,都 存在 着 漏洞 。 作 为 网 络 安全 的 基础 ,网 络 操作 系统 也 不 例外 。 从 某 种 意义 上 讲 , 系 
统 平台 的 风险 大 小 取决 于 网 络 操作 系统 漏洞 的 多 少 及 严重 程度 。 尽 管 众多 的 安全 服务 提 
供 商 及 操作 系统 厂商 不 断 花费 大 量 人 力 财力 来 发 现 系统 漏洞 .修补 漏洞 ,但 不 幸 的 是 , 漏 
洞 并 不 因此 而 消除 。 据 国际 权威 组 织 SANS 及 FBI 公布 的 2006 年 安全 漏洞 表明 ,在 排 
名 前 20 名 的 Internet 最 严重 的 安全 漏洞 中 , 仍 有 1/3 是 网 络 操作 系统 的 漏洞 。 


1 Windows 系列 漏洞 

(1) 微软 IE 浏览 器 

微软 的 IE 浏览 器 是 安装 Windows 系列 操作 系统 的 默认 安装 。 在 未 安装 漏洞 补丁 
程序 或 老 版 本 的 IE 浏览 器 中 存在 多 个 安全 漏洞 ,这些 安 全 漏洞 会 导致 内 存 内 容 被 恶意 
算 改 .欺骗 及 执行 任意 脚本 文件 。 浏 览 器 漏洞 所 导致 的 最 致命 问题 是 : 在 用 户 访问 一 
个 恶意 网 页 或 阅读 电子 邮件 时 ,在 用 户 不 知情 的 情况 下 ,远程 执行 一 段 漏洞 代码 ,而 这 
些 利 用 丰 漏 洞 的 代码 是 因特网 上 公开 的 。 此 外 ,通过 下 浏览 器 可 能 导致 利用 其 他 
Windows 核心 组 件 ( 例 如 HTML) 帮 助 引擎 及 图 形 泻 染 引 擎 的 安全 漏洞 来 执行 恶意 代 
码 。 微 软 及 其 他 第 三 方 软件 提供 商 所 提供 ActiveX 控件 中 的 安全 漏洞 也 是 通过 IE 浏 
览 器 安装 的 。 

上 述 漏 洞 已 被 广泛 用 来 安装 间谍 软件 .广告 软件 及 其 他 恶意 程序 于 用 户 系统 上 ,一 
些 仿冒 攻击 也 是 通过 欺骗 漏洞 产生 的 。 

(2) Windows 系统 库 

Windows 系统 库 是 若干 程序 模块 组 成 .系统 库 中 包含 许多 供 其 他 模块 调用 的 函数 及 
数据 ,如 Windows 应 用 程序 。 通 常 ,Windows 应 用 程序 通过 大 量 调用 库 函 数 以 实现 其 功 
能 , 库 函 数 往往 被 封装 成 动态 链接 库 (DLL) 的 文件 格式 ,并 具有 扩展 名 DLL 或 OCX。 动 
态 链接 库 为 系统 提供 了 一 种 模块 化 应 用 程序 的 方法 ,使 其 功能 易于 复 用 ,易于 更 新 。 当 几 
个 应 用 程序 同时 使 用 同一 功能 函数 时 ,动态 链接 库 也 有 助 于 减少 内 存 使 用 开销 。 许 多 
Windows 的 任务 使 用 动态 链接 库 , 例 如 , HTML 语法 检查 ,影像 格式 解码 和 协议 解码 等 。 
由 于 本 地 及 远程 的 应 用 程序 都 要 使 用 动态 链接 库 , 因 此 ,动态 链接 库 中 的 一 个 漏洞 将 影响 
所 有 使 用 该 库 的 系统 应 用 程序 及 其 他 使 用 该 动态 库 的 第 三 方 软件 提供 商 所 提供 的 软件 。 
攻击 者 可 以 通过 多 种 途径 利用 动态 链接 库 的 漏洞 发 动 对 系统 的 攻击 ,例如 ,通过 IE 浏览 
器 .Office 办 公 软 件 及 图 像 查 看 软件 来 利用 图 像 处 理 动 态 链接 库 的 漏洞 。 在 许多 情况 下 ， 
远程 攻击 者 只 需要 诱骗 用 户 访问 他 们 精心 设计 的 网 站 ,查看 图 像 、 点 击 图 标 或 光标 文件 ， 
攻击 者 即 可 以 用 户 的 权限 执行 任意 代码 。 

(3) 微软 Office 办 公 软 件 

微软 Office 办 公 软 件 是 目前 广 为 流 行 的 收发 电子 邮件 及 日 常 办 公 套 件 。 该 套件 包 
括 Outlook, Word,PowerPoint,Excel,Visio,FrontPage 及 Access。 利 用 该 套件 中 存在 的 
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漏洞 ,攻击 者 可 以 通过 以 下 途径 发 起 攻击 : 
。 攻击 者 发 送 带 有 恶意 Office 文档 的 邮件 ,其 中 的 病毒 可 以 利用 这 种 恶意 Office 文 
档 进行 系统 间 的 相互 传播 ; 
。 攻击 者 将 恶意 Office 文档 放 在 Web 服务 器 或 共享 文件 夹 中 ,而 诱 使 用 户 浏览 网 
页 或 共享 文件 夹 。 由 于 IE 浏览 器 将 自动 打开 Office 文档 ,因此 , 当 用 户 浏览 了 放 
有 恶意 Office 文档 的 网 页 或 文件 夹 后 ,攻击 者 即 可 利用 该 漏洞 对 系统 发 起 攻击 ; 
。 攻击 者 通过 配置 新 闻 服 务 器 或 动 持 了 RSS 频道 向 邮件 客户 发 送 恶 意 文件 。 
(4) Windows 操作 系统 的 服务 程序 
Windows 家 族 的 操作 系统 提供 各 种 服务 ,网络 连 接 的 方法 和 技术 。 所 有 的 服务 都 是 
在 统一 的 服务 控制 管理 程序 (SCM) 的 控制 下 ,以 服务 控制 程序 (SCP) 方 式 实现 ,服务 控制 
管理 程序 的 运行 程序 是 Services. exe。 攻 击 者 常常 利用 操作 系统 中 服务 控制 程序 的 漏洞 
对 操作 系统 发 起 攻击 。 负 责 向 客户 组 件 提供 远程 接口 的 几 个 系统 核心 组 件 使 用 了 远程 过 
程 调用 (RPC) ,这 些 核心 组 件 通 过 使 用 CIFS 协议 经 由 命名 的 管道 端点 访问 暴露 出 其 安 
全 缺陷 , 即 已 知 的 某 些 TCP/UDP 通道 及 一 些 临时 建立 的 TCP/UDP 通道 。 历 史上 , 系 
统 服 务 中 存在 许多 可 以 被 匿名 用 户 利用 的 漏洞 , 当 攻 击 者 利用 服务 中 存在 的 漏洞 攻击 用 
户 系统 后 ,他 们 具有 与 系统 服务 一 样 的 控制 系统 的 权限 。 
在 旧版 本 操作 系统 中 ,尤其 是 Windows NT 和 Windows 2000 中 ,系统 的 默认 配置 是 
允许 这 些 系统 服务 。 
(5) Windows 系统 配置 缺陷 
Q@ 用 户口 令 设 置 缺 陷 。 
近年 来 ,由 于 口令 设置 缺陷 导致 蠕虫 病毒 、 蝇 蛆 (Bots) 及 其 他 恶意 软件 的 大 量 繁殖 及 
扩散 。 实 行 口令 强度 检查 是 一 个 IT 管理 员 所 面临 的 最 古老 的 问题 ,但 如 今 ,仍然 是 给 企 
业 造 成 损失 的 主要 原因 。 口 令 配 置 的 缺陷 存在 于 微软 的 本 地 口令 系统 及 活动 目录 中 ,两 
者 中 的 任意 缺陷 都 能 够 被 内 部 威胁 及 恶意 软件 所 利用 。 此 外 , 随 着 跨 平台 集中 身份 鉴别 
需求 的 不 断 增加 , Windows 系统 凭据 的 泄露 将 会 导致 其 他 平台 系统 凭据 的 泄露 (例如 
UNIX/RACF/ACF2/Top Secret) 。 
@ 服务 账号 口令 。 
在 Windows 系统 中 , 非 系 统 的 服务 账号 需要 口令 。 但 很 不 幸 的 是 ,这 些 口 令 通 常 使 
用 了 短 的 且 可 打印 的 字符 串 ,最 糟糕 的 是 : 它们 常用 于 多 台 主 机 上 ,服务 账号 具有 很 高 的 
对 系统 的 访问 权限 , 且 账 号 的 口令 很 少 变更 。 
@ 匿名 登录 。 
匿名 是 Windows 域 环 境 下 长 期 存在 的 问题 。 在 早期 的 Windows NT 域 结构 中 , 空 
会 话 允 许 匿名 用 户 枚 举 域 中 的 主机 系统 .共享 文件 及 用 户 账 号 。Windows 2000 系统 在 匿 
名 访问 上 引入 了 两 级 控制 方法 ,然而 ,该 控制 方法 在 系统 的 默认 配置 中 是 禁用 的 。 在 
Windows 2003 的 早期 版 本 中 ,微软 为 Windows 2003 增加 了 一 些 访问 控制 及 限制 , 且 在 
系统 默认 配置 下 这 些 访 问 控制 是 允许 使 用 的 。 然 而 ,Windows 2003 以 前 的 一 些 原 有 的 系 
统 已 迫使 其 环境 中 应 继续 支持 匿名 连接 。 
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2 Mac CS X 系 统 

Mac OS X 是 苹果 公司 在 它 的 Intel 平台 的 PowerPC 产品 线 上 使 用 的 基于 BSD 的 
UNIX 的 操作 系统 。 

Mac OS X 由 多 个 不 同 的 组 件 组 成 ,其 中 每 个 组 件 都 潜在 不 同 的 安全 漏洞 。 在 过 去 
几 年 中 所 发 现 最 致命 安全 漏洞 集中 在 以 下 6 个 方面 : 

© safari。 

safari 是 最 近 推 出 的 Mac OS X 版 本 所 安装 的 默认 的 网 页 浏览 器 。 浏 览 器 中 的 漏洞 
将 导致 攻击 者 能 够 完全 控制 用 户 浏览 器 或 登录 会 话 。 

@ 图 像 IO。 

系统 或 应 用 程序 使 用 的 图 像 处 理 框架 。 在 该 处 理 框架 中 的 漏洞 可 能 涉及 许多 使 用 该 
处 理 框 架 的 应 用 程序 。 通 常 ,应 用 程序 认为 图 像 文 件 是 “安全 ”的 ,在 默认 情况 下 ,系统 在 
不 经 提示 用 户 的 情况 下 ,自动 打开 图 像 文 件 。 

©@ UNIX。 

Mac OS X 是 基于 早期 的 类 UNIX 系统 ,并 从 中 吸收 了 大 量 的 UNIX 系统 代码 。 许 
多 为 UNIX 或 类 UNIX 系统 而 编写 的 应 用 程序 运行 于 Mac OS X 系统 上 ,并 随 苹果 机 的 
Mac OS X 操作 系统 一 起 发 布 ,因此 ,Mac OS X 系统 应 用 程序 的 漏洞 补丁 程序 晚 于 
UNIX 系统 上 的 漏洞 补丁 程序 发 布 。 

@ 无 线 连接 。 

Mac OS X 系统 无 线 网 络 连接 子 系统 中 存在 致命 安全 漏洞 , 离 漏洞 系统 较 近 的 攻击 
者 可 以 利用 该 漏洞 完全 控制 系统 。 即 使 被 攻击 的 系统 与 发 动 攻击 的 系统 并 不 属于 同一 录 
辑 网 络 ,攻击 者 也 能 够 利用 该 漏洞 攻击 系统 。 此 外 ,在 蓝牙 无 线 接口 子 系统 中 发 现 了 同样 
的 问题 。 

@ 病毒 /木马 程序 。 

在 2005 年 第 一 次 发 现在 Mac OS X 系统 中 存在 病毒 及 木马 程序 。 

@ 其 他 。 

其 余 是 一 些 不 能 明确 界定 类 别 的 漏洞 。 


3 UNX 系 统 配置 缺陷 

大 多 数 UNIX/Linux 系统 的 默认 安装 将 安装 一 些 标准 的 系统 服务 程序 ,对 这 些 服务 
程序 ,即使 安装 了 相应 的 补丁 程序 ,也 可 能 会 造成 意 想 不 到 的 信息 泄露 。 具 有 安全 意识 的 
系统 管理 员 将 通过 关闭 不 必要 的 服务 和 /或 使 用 防火 墙 保护 从 互联 网 访问 这 些 服 务 ,从 而 
起 到 加 固 操作 系统 的 目的 。 

例如 , RedHat 企业 版 Linux 系统 默认 安装 了 cups (Common UNIX Printing 
System) ,portmap(RPC support) ,sendmail (Mail Transport Agent) 及 sshd (OpenSSH 
server) 等 服务 程序 ,而 这 些 服 务 程 序 在 确认 没有 使 用 必要 时 ,应 予以 关闭 。 

特别 令 攻击 感 兴趣 的 是 针对 命令 行程 序 发 起 的 蛮 力 攻击 ,例如 ssh,ftp 和 telnet, 由 
于 这 些 服务 提供 远程 访问 ,所 以 它们 是 攻击 的 目标 。 但 近 些 年 来 ,攻击 者 一 起 努力 试图 使 
用 蛮 力 攻击 的 方法 攻破 这 些 应 用 程序 所 使 用 的 口令 。 他 们 在 不 断 增加 的 蠕虫 及 蝇 蛆 
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(Bots) 程 序 中 加 入 了 蛮 力 口令 攻击 引擎 。 系统 中 具有 弱 口 令 强度 的 用 户 账号 及 易 攻 破 ， 
并 由 此 提升 权限 至 超级 用 户 的 访问 权 。root-kits 就 是 一 套 攻 击 者 攻 入 系统 后 ,隐藏 在 系 
统 中 ,用 于 发 起 进一步 攻击 系统 的 套件 。 对 我 们 来 说 ,重要 的 是 必须 切记 : 蛮 力 攻击 口令 
是 一 种 攻破 已 安装 了 系统 补丁 程序 的 操作 系统 的 技术 。 

具有 安全 意识 的 系统 管理 员 使 SSH 作为 他 们 远程 交互 操作 的 方法 。 如 果 SSH 版 本 
是 当前 最 新 版 本 , 且 已 安装 了 补丁 程序 ,那么 该 SSH 服务 本 身 可 以 认为 是 安全 的 。 然 而 ， 
无 论 是 否 是 最 新 版 本 及 更 新 了 补丁 程序 ,该 系统 都 能 通过 蛮 力 口令 猜测 攻击 攻破 。 对 于 
使 用 SSH 服务 ,建议 使 用 公 钥 身份 鉴别 方式 来 避免 此 类 攻击 。 对 于 其 他 的 远程 交互 服 
务 ,建议 审计 口令 的 强度 ,保证 它们 足够 复杂 ,用 以 防止 蛮 力 攻击 。 


15.2 ”系统 平台 的 安全 加 固 


平台 加 固 是 一 种 用 来 分 析 和 确定 操作 系统 及 服务 程序 弱点 ,并 引入 适当 的 更 改 以 保 
护 操作 系统 及 其 服务 程序 免 受 攻 击 的 方法 。 平台 加 固 可 以 帮助 检查 操作 系统 的 各 个 组 件 
及 相关 应 用 程序 ,以 确定 最 安全 的 配置 方案 。 配 置 过 程 包括 从 系统 中 删除 不 需要 的 服务 、 
软件 和 用 户 ,加 强 对 操作 系统 工具 和 软件 的 控制 。 最 终结 果 是 有 了 一 个 在 自身 安全 方面 
扮演 积极 角色 的 平台 ,该 平台 不 仅仅 依赖 于 外 在 的 安全 机 制 。 


1521 系统 平台 的 加 固 方案 


尽管 加 固 系统 平台 的 具体 方案 是 依据 系统 平台 的 不 同 而 定 的 ,但 总 体 指导 思想 是 一 
致 的 ,具体 如 下 : 

@ 减 小 无 用 软件 、 服 务 和 进程 的 数目 。 

@ 在 持续 提供 对 资源 的 访问 的 同时 ,要 使 所 有 软件 、 服 务 及 进程 配置 处 于 最 安全 的 
@ 尽 可 能 避免 系统 对 其 身份 .服务 及 功能 等 信息 的 泄露 。 
为 达到 成 功 加 固 系 统 平 台 的 目的 ,应 采取 如 下 步骤 : 
确定 目标 系统 的 用 途 。 
人 @ 评定 系统 是 否 符合 最 初 要 求 。 
@ 根据 目标 系统 需求 ,制定 安全 策略 。 
@ 采用 标准 构件 的 方法 实施 系统 平台 加 固 。 


1 确定 目标 系统 的 用 途 

逐一 确定 每 个 目标 系统 的 用 途 , 确 保 不 要 遗忘 任何 系统 平台 。 对 企业 最 危险 的 安全 
威胁 之 一 是 仍 起 作用 却 被 遗忘 的 系统 平台 。 那 些 原 以 为 被 取代 的 系统 ,实际 仍然 起 作用 ， 
并 作为 执行 未 经 授权 动作 的 主机 ,是 企业 最 危险 的 安全 威胁 。 在 加 固 平 台 时 ,必须 回答 下 
列 问题 : 

@ 为 什么 要 建 这 个 平台 ? 

@ 谁 对 这 个 平台 负责 ? 
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@ 这 个 系统 能 满足 与 业务 相关 的 需求 吗 ? 

@ 要 满足 这 个 需求 需要 哪些 服务 ? 

@ 谁 需要 访问 这 个 系统 ? 

@ 这 个 系统 需要 访问 什么 资源 ? 

这 个 列表 反映 出 在 使 用 系统 之 前 必须 编辑 的 需求 文档 的 类 型 。 它 既 作为 对 系统 生存 
周期 有 关 过 程 的 健全 性 检验 ,又 定义 了 系统 必需 的 应 用 程序 、 服 务 和 进程 的 蓝图 。 


2 评定 系统 是 否 符合 最 初 要 求 

一 旦 确定 了 系统 需求 ,下 一 步 就 是 评定 系统 以 确定 实际 的 实现 是 否 符合 最 初 的 需求 。 
这 个 评定 不 需要 使 用 复杂 的 方法 和 工具 。 系 统 操 作 员 通常 可 以 提供 服务 、 端 口 、 应 用 程序 、 
软件 版 本 、 用 户 及 进程 的 清单 。 这 个 简单 的 清单 通常 足以 建立 一 个 简单 的 评测 报告 。 很 多 
情况 下 ,实际 服务 的 数量 远 远大 于 所 需要 的 服务 数量 。 此 信息 将 作为 下 一 阶段 工作 的 基准 。 


3 根据 目标 系统 需求 ,制定 安全 策略 

要 设计 一 种 策略 以 满足 目标 系统 平台 的 需求 ,通常 ,安全 策略 的 制定 应 考虑 以 下 5 方 
面 的 内 容 。 

(1) 网 络 

这 个 系统 正常 运行 需要 多 少 网 络 访问 量 ? 用 户 需要 对 系统 进行 远程 访问 吗 ? 这 个 访 
问 是 源 自 于 网 络 可 信 的 部 分 还 是 不 可 信和 的 部 分 ?” 组 织 会 支持 取消 所 有 未 加 密 的 访问 服务 
吗 ? 来 自 这 个 系统 的 文件 需要 和 别 的 系统 共享 吗 ? 这 个 系统 能 进行 远程 管理 吗 ? 防火 墙 
或 数据 包 过 滤 设 备 会 保护 网 络 访问 吗 ? 如 果 不 能 ,我 们 能 在 平台 上 实现 数据 包 过 滤 吗 ? 
如 果 能 ,防火 墙 能 够 支持 预期 的 系统 吞吐 量 吗 ? 

(2) 系统 软件 

该 系统 在 最 近 是 否 发 布 了 标准 软件 版 本 或 补丁 ”这 些 软 件 版 本 是 否 符 合 供应 商 推 荐 
的 安全 补丁 等 级 ? 有 没有 不 再 使 用 并 可 以 印 载 的 主要 内 部 软件 包 ? 是 否 使 用 了 基于 菜单 
或 GUI 的 管理 程序 ? 关键 的 软件 组 件 是 否 存 有 正确 的 日 志 ? 这 些 日 志 是 循环 的 还 是 会 
归档 ? 是 否 使 用 标准 的 图 像 来 建立 新 的 系统 以 保持 一 致 ? 

(3) 文件 系统 

文件 系统 是 本 地 的 ,还 是 有 远程 的 装 入 卷 ? 这 些 远程 装 入 卷 是 否 使 用 安全 协议 ?本 
地 卷 是 否 正确 划分 了 分 区 ? 日 志 是 否 会 超出 其 存储 空间 并 损坏 系统 ? 是 否 使 用 了 基于 操 
作 系 统 的 加 密 技术 来 保护 文件 ?可 执行 文件 是 否 受 到 合理 限制 ? SUID(Set User ID ) 的 
功能 是 否 受 限于 关键 的 可 执行 文件 ? 系统 是 否 正确 地 备份 ? 

(4) 用 户 

哪些 用 户 需 要 系统 的 访问 权 ? 他 们 是 否 使 用 了 强 密码 ? 密码 是 否 有 期 限 要 求 ? 账户 
的 储存 和 管理 是 本 地 的 还 是 使 用 一 个 公用 目录 ?用 户 账户 是 否 被 定期 审核 和 重新 验证 ? 
谁 能 创建 账户 ? 基于 角色 的 账户 能 否 执行 特权 功能 ? 是否 对 使 用 进行 了 监控 ? 是 否 设置 
了 用 户 路 径 和 权限 集 ? 

(5) 物理 

系统 是 否 位 于 安全 的 数据 中 心 ? 它 是 否 连接 到 安全 的 电源 ? 是 否 有 合适 的 温度 调控 
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系统 ?系统 控制 台 是 否 置 于 锁 好 的 机 柜 里 ? 控制 台 在 处 于 不 活动 状态 一 段 时 间 后 是 否 会 
自动 退出 系统 ? 


4 用 标准 构件 的 方法 实施 系统 平台 加 固 

在 实施 系统 平台 加 固 的 最 后 过 程 中 ,应 采用 构件 的 开发 方法 以 保证 加 固 成 功 。 标 准 
构件 是 一 种 具有 达到 特定 目标 所 需 的 全 部 功能 的 特定 系统 类 型 的 每 个 小 部 件 集 合 的 镜 
像 。 企 业 可 以 为 桌面 \Web 服务 器 数据 库 系统 及 用 于 企业 的 所 有 其 他 类 型 平台 开发 配 
置 文 件 。 这 些 配置 文件 指定 了 操作 系统 的 类 型 .补丁 级 别 、 应 用 程序 软件 及 安全 设置 。 然 
后 在 实验 环境 中 对 它们 进行 研究 ,并 镜像 为 一 种 可 以 重复 生产 的 形式 ,这 样 可 缩短 生产 时 
间 , 因 为 所 有 软件 和 配置 都 包含 于 这 个 镜像 中 。 当 新 的 补丁 和 需求 及 软件 版 本 出 现时 , 配 
置 文件 和 图 像 必须 进行 更 新 。 

标准 构件 也 可 用 于 简化 现 有 系统 的 加 固 。 很 多 情况 下 ,可 以 实现 交换 系统 (Swap- 
Out System) 。 有 了 交换 系统 ,可 以 将 标准 构件 映射 到 相应 的 硬件 平台 上 。 目 标 系 统 的 
配置 和 数据 在 替代 系统 上 执行 ,然后 将 两 个 单元 进行 交换 。 在 最 后 一 步 中 ,数据 进行 了 同 
步 化 ,产生 了 符合 所 需 操作 目的 的 生产 平台 ,不 同 的 是 ,这 是 一 种 更 为 安全 的 方式 。 随 后 
旧 的 单元 可 以 重新 映射 以 取代 另 一 个 生产 系统 ,然后 反复 重复 整个 过 程 。 通 过 使 用 这 种 
方式 ,能 够 节省 时 间 和 资源 ,从 而 实现 更 为 有 效 的 安全 组 织 。 

1522 系统 平台 的 加 固 指南 

依据 平台 加 固 的 总 体 指导 思想 ,平台 加 固 应 从 以 下 几 方 面 考虑 。 

1. 端口 和 进程 

网 络 操作 系统 使 用 进程 向 外 提供 服务 ,减少 无 用 软件 及 服务 的 任务 就 是 要 在 所 有 系 
统 进程 中 找 出 多 余 进程 。 由 于 进程 通过 打开 网 络 端口 向 外 提供 服务 ,所 以 找 出 多 余 进程 
的 最 快 方法 是 观察 进程 及 端口 对 应 表 。 

netstat 是 列 出 一 个 系统 上 所 有 打开 的 TCP/IP 网 络 端口 的 命令 ,通过 该 命令 ,可 以 
找 出 系统 平台 上 的 所 有 打开 的 监听 端口 。 这 些 打 开 着 的 端口 正 是 入 侵 者 所 要 攻击 的 , 因 
为 它们 通 向 系统 平台 内 部 。 因 此 ,作为 平台 加 固 的 一 部 分 ,我 们 使 用 netstat 命令 来 
识别 出 无 关 端 口 ,并 由 此 找到 需要 删除 或 需要 禁用 的 服务 。 图 15-1 显示 出 ,主机 
192. 168. 5.102 开放 了 Telnet、SSH 和 FTP 等 服务 。 

禁用 Windows NT/2000 中 不 必要 的 服务 非常 简单 ,具有 图 形 界面 的 控制 面板 可 以 
用 来 设置 各 项 服务 并 确定 它们 如 何 启动 ,只 需要 浏览 列表 来 关闭 或 禁用 不 需要 的 服务 。 
图 15-2 显示 了 Windows 2000 的 服务 面板 。 

禁用 UNIX 平台 上 的 服务 要 复杂 一 些 。 主 要 是 UNIX 版 本 服务 的 启动 脚本 及 文件 
的 存放 位 置 不 同 。 对 于 每 个 要 启动 的 服务 ,操作 系统 中 通常 包含 一 组 启动 及 停止 脚本 , 启 
动 时 操作 系统 按 所 需 的 顺序 调用 这 些 脚 本 ,关闭 时 系统 执行 停止 脚本 。 加 固 过 程 中 要 合 
理 定位 不 同 操作 系统 脚本 的 位 置 并 合理 禁用 不 必要 的 服务 程序 。 表 15-1 列 出 了 一 些 
UNIX 系统 启动 脚本 的 位 置 。 
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[zugq@zug-HR9 zug]9 metstat -na 


Active Internet connections 


(servers and established) 


Proto Recu-Q Send-Q Local fddress Foreign fddress State 

tcp 0 890.0.0.0:2 8.0.0.0:* LISTEN 

tcp 0 0 .0.0.0. 0.0.0.0:* LISTEN 

tcp 0 0 606.86.9 08.0.0.0:* LISTEN 

tcp 0 138 192.16 192.168.5.35:3755 ESTABLISHED 
udp 0 6 80.0.0.0:701 0.0.0.0:* 

fctiue UNIX domain sockets (servers and established) 

Proto RefCnt Flags TUpe State I-Node Path 

unix 5 [ ] DGRRN 866 /dev/10g 

unix 2 [ACC] STREAM LISTENING 1038 /dev/gpnctl 

unix 2 [ACC] STREAM LISTENING 1091 /tmp/.font-unix/fs?100 
unix 2 到: 河 DGRAM 1953 

unix 2 | DGRRN 996 

unix 2 [] DGRAM 877 

[zug@zug-HR9 zuwg1$ 


图 15-1 netstat 命 令 输 出 示例 


」 折 作 (A) 查看 W | 
得 | 动 ， 

ET 自动 Localsystem 
手动 。 Localsystem 
手动 LocalSystem 

已 局 动 手动 。 Localsystem 
| 各 computer Browser 维护 网 络 上 计算 机 的 ..， 已 局 动 自动 Localsystem 
SRaDHCP Clent 通过 注册 和 更 中 IP 地 址 以 及 DN5 名 称 来 管理 网络 肥 置 。 
[SR Dstributed File System 管理 分 布 于 局 域 网 或,,， 已 启动 自动 LocalSystem 
[SR Distributed Link Tracking Chent 当 文件 在 网 络 城 的 NT..， 已 启动 ”自动 Localsystem 
| Distributed Link Trading Server 保存 文件 在 域 中 卷 之 ， 手动 Local5ystem 
| 呈 Distributed Transaction Coordinator ”并 列 事 务 ， 是 分 布 于 ,.， 已 启动 ”自动 Localsystem 
RONS Chent 解析 和 猴 冲 域名 系统 ,， 已 启动 自动 Localsystem 
[RyEvent Log 记录 程序 和 Windows ..， 已 启动 自动 。 LocalSystem 
[RaFax Service 帮助 您 发 送 和 接收 传真 手动 。 Localsystem 
[SR Fle Replication 在 多 个 服务 器 问 维护 . 手动 LocalSystem 
[SaFTP Publshing 5ervice 通过 Internet 信息 服 ,,， 已 启动 ”自动 Localsystem 
[R115 Admin Service 区 许 通过 Imernet 信 ,,， 已 启动 自动 。 Local5ystem 
[Ry Indexing Service 手动 。 Localsystem 
| Internet Connection sherng 为 通过 执 号 网 络 连 接 ,， 手动 。 Locsl5ystem 
| Interste Messaging 花 许 在 Windows Adva.. 已 禁用 Localsystem 
[Ra IPSEC Polcy Agent 管理 Jp 安全 策略 以 及 ,， 已 启动 ”自动 LocalSystem 
| 知 kerberos key Distribution Center 。 ”产生 会 话 密 角 以 及 授 . 已 禁用 LocalSystem 
[RaLicense Logging Service 已 启动 自动 。 Local5ystem 
| Logical Disk Manager 逻 各 磁盘 管理 器 监视 ..， 已 局 动 自动 。 Localsystem 
| 各 Logical Disk Manager Administrativ,,， 磁盘 管理 请 求 的 系统 ， 手动 Local5ystem 
| Messenger 发 送 和 接收 系统 管理 ,， ”已 启动 ”自动 Localsystem 
和 Net Logon 支持 网 络 上 计算 机 pa，… 手动 。 Locsl5ystem 
全 eeecoro oan nachon shu 人 ie 证 加 了 的 田 叫 他 ah。 icauerom 加 

| 
图 15-2 Windows 2000 服务 面板 
表 15-1 不 同 版 本 UNIX 启动 脚本 的 位 置 
操作 系统 启动 脚本 位 置 
Solaris /etc/init. d 


Linux(redhat turbo Linux) 


Vetcyrc. d/init. d 


FreeBSD 


2 安装 系统 补丁 


所 有 软件 都 有 缺陷 。 为 了 修复 这 些 错误 ,供应 商会 发 布 软件 补丁 。 如 果 没 有 这 些 补 
丁 ,组织 可 能 就 会 容易 遭受 攻击 。 在 有 很 严格 的 更 改 控制 策略 的 组 织 中 ,及 时 安装 补丁 会 
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是 一 个 问题 。 对 补丁 的 彻底 测试 是 这 个 过 程 的 关键 部 分 ,因为 供应 商 在 解决 旧 问 题 时 ,有 
可 能 会 引入 新 的 问题 。 而 对 于 和 安全 缺陷 无 关 的 补丁 来 说 没有 问题 。 但 是 ,入 侵 者 搜索 
和 利用 安全 弱点 的 速度 要 求 有 更 快 的 安全 补丁 修正 过 程 。 企 业 必 须 注意 安全 补丁 的 发 
布 ,并 随时 准备 快速 地 使 用 它们 。 建 议 企业 及 时 查阅 www. sans. org 以 获得 最 新 漏洞 修 
复 信息 。 不 同 操作 系统 的 系统 补丁 如 表 15-2 所 示 。 

表 15-2 不 同 操作 系统 的 系统 补丁 

操作 系统 补丁 类 型 安装 方式 如 何 获 得 
Windows NT/2000/ 


Hotfix、 服 务 包 自 安装 update. microsoft. com 
XP/2003/Vista 
Solaris 单 或 多 个 补丁 instllpatch Sunsolve. sun. com 
Linux ( Redhat、 www. redhat. com/apps/support/errata 


Mandrake 等 ) 替代 软件 包 Rpm-u 


NetWare NLM Patch support. novell. com /filefinder/6385/index 
重新 编译 新 
代码 


www. mandrakelinux. com 


FreeBSD 新 的 源 代码 


www. {reebsd. org 


3 密码 强度 及 存储 

计算 平台 速度 的 巨大 改进 及 人 们 对 现代 密码 系统 的 兴趣 和 理解 的 增加 ,向 平台 安全 
提出 了 新 的 挑战 。UNIX 系统 传统 上 使 用 一 些 快速 类 型 的 哈 希 算法 来 对 所 存放 的 用 户 密 
码 进行 加 密 。 为 了 允许 低 特权 进程 使 用 这 个 密码 系统 ,密码 存储 (依赖 于 加 密 技术 来 保护 
它 ) 需 要 全 局 性 的 可 读 许可 。 

系统 允许 的 密码 强度 是 传统 UNIX 系统 的 另 一 薄弱 之 处 。 密 码 强 度 取决 于 密码 中 
使 用 的 字符 数 和 随机 性 。 例 如 ,3D8%de 的 强度 就 比 dog 要 大 得 多 。 

越 来 越 快速 的 计算 机 和 可 以 免费 得 到 的 解密 软件 已 经 使 密码 存储 越 来 越 容 易 受 到 离 
线 攻击 ,因为 几乎 任何 用 户 都 可 以 访问 用 户口 令 的 密 文 。 现 代 的 PC 有 足够 的 能 力 解密 
这 些 脆弱 的 口令 。 

UNIX 系统 能 够 为 用 户口 令 存储 添加 保护 层 ,只 需要 设置 这 些 系统 就 可 以 了 。 现 代 
的 UNIX 系统 (甚至 一 些 合理 修补 的 遗留 系统 ) 对 无 特权 用 户 隐藏 了 用 户口 令 的 密 文 , 但 
是 仍然 允许 他 们 访问 认证 子 系统 ( 称 为 阴影 )。 它 们 也 可 以 阻止 用 户 使 用 容易 被 猜测 到 的 
字典 词汇 作为 用 户口 令 并 要 求 用 户 定期 更 换 口 令 。UNIX 系统 有 一 些 固有 的 对 用 户 透 明 
的 功能 ,只 需要 激活 它们 就 可 以 了 。 

Windows NT/2000 也 包含 了 保护 本 地 密码 存储 完整 性 的 方法 。 通 过 一 次 性 使 用 
syskey 命令 ,可 以 使 操作 系统 在 密码 存储 中 使 用 更 强 的 加 密 技 术 。Windows NT/2000 
也 可 以 要 求 用 户 使 用 经 常 更 改 的 更 长 .更 随机 的 密码 。 


4 用 户 账户 
用 户 账户 标识 了 需要 访问 平台 资源 的 实体 (无 论 是 应 用 程序 进程 还 是 人 )。 操 作 系统 
通过 权限 和 优先 权 将 用 户 账户 与 其 访问 控制 系统 相关 联 。 因 为 用 户 账 户 是 合法 进入 系统 
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的 机 制 , 所 以 人 侵 者 常常 试图 利用 用 户 账户 管理 和 访问 控制 中 的 缺陷 。 如 果 可 以 作为 合 
法 用 户 轻 松 地 登录 系统 ,那么 为 什么 还 要 浪费 时 间 去 做 自 定义 缓冲 器 溢出 攻击 呢 ? 

用 户 账户 管理 的 弱点 有 5 个 方面 : 弱 密 码 、 制 造 商 默认 的 账户 、 基 于 角色 的 账户 、 公 
司 默认 账户 ,以 及 废弃 账户 。 在 所 有 情况 下 ,平台 加 固 的 目标 是 将 用 户 账户 数目 减少 到 所 
需 的 绝对 最 小 值 。 下 面 描述 了 用 户 账 户 管理 5 个 方面 的 缺点 : 

。 在 前 面 的 小 节 中 已 经 讨论 了 关于 弱 密 码 处 理 的 问题 。 

。 制造 商 默 认 的 账户 由 制造 商 创 建 , 是 为 了 维护 或 者 在 安装 时 首次 登录 到 平台 而 使 

用 的 。 虽 然 今天 已 经 不 太 流 行 ,但 是 这 些 账户 仍然 存在 于 一 些 旧 的 系统 上 ,这 可 
能 会 非常 危险 。 

。 基于 角色 的 账户 非常 危险 ,因为 它们 不 能 实现 适当 的 可 信赖 性 。 角 色 账 户 由 一 群 
人 来 使 用 ,而 不 是 要 求 用 户 使 用 他 们 自己 的 ID 登录 。 例 如 备份 操作 员 或 者 Web 
站 点 管理 员 。 
公司 默认 账户 是 由 于 标准 构件 过 程 的 误 用 而 安装 于 整个 企业 平台 上 的 账户 。 这 
些 账户 和 基于 角色 的 账户 的 相似 之 处 是 ,它们 不 能 实现 适当 的 可 信赖 性 。 然 而 ， 
它们 可 能 会 更 危险 ,因为 它们 错误 地 允许 一 些 用 户 匿名 登录 到 系统 中 。 

。 废弃 账户 会 导致 最 糟糕 的 问题 ,因为 它们 的 存在 导致 了 安全 规程 极 危 险 的 缺陷 。 

最 佳 实践 证 明 ,不 再 被 授权 访问 资源 的 用 户 或 者 那些 离开 公司 的 用 户 , 他 们 的 账 
户 应 当 立 即 停止 使 用 ,废弃 的 账户 最 容易 受到 同事 和 支持 人 员 的 内 部 攻击 。 

关于 用 户 账户 管理 需要 在 平台 加 固 时 关注 的 另 一 个 方面 是 ,那些 用 于 运行 人 机 交互 
式 进程 (例如 Web 服务 器 ) 的 用 户 账户 。 默 认 情 况 下 ,这 些 进程 的 绝 大 部 分 以 超级 用 户 特 
权 和 运行 ,这 意味 着 任何 对 这 些 进程 的 成 功 攻击 将 获得 对 系统 访问 优先 权 的 极 大 提升 。 只 
有 关键 的 系统 和 核心 任务 ,虽然 需要 比较 高 的 访问 级 别 , 但 是 其 他 的 应 用 程序 并 不 需要 。 
应 该 创建 和 配置 应 用 程序 所 需 的 确切 访问 级 别 的 专用 用 户 账户 ,以 帮助 保护 系统 ,不 让 入 
侵 得 偿 。 这 些 措 施 包括 锁定 账户 的 远程 登录 权利 或 者 禁止 获得 对 Shell 提示 符 的 访问 ， 
还 包括 限制 账户 只 能 访问 自己 的 文件 。 


5 用 户 特 权 

用 户 特权 是 UNIX 系统 安全 的 基础 之 一 。 正 确实 现 的 用 户 特 权 应 该 确保 用 户 只 具 
有 他 们 执行 任务 所 需要 的 访问 权限 。UNIX 系统 中 的 超级 用 户 是 一 个 享有 完全 和 不 受 限 
系统 资源 访问 权 的 用 户 账户 。 这 个 账户 是 为 专门 需要 高 级 别 访问 的 系统 管理 任务 保留 
的 ,但 是 系统 管理 员 常 常 将 之 用 于 他 们 普通 的 日 常 活动 。 大 多 数 UNIX 系统 不 提供 一 个 
中 间 级 别 的 系统 特权 ,所 以 超级 用 户 特 权 往 往 被 授予 比 完成 任务 实际 所 需 的 数目 多 得 多 
的 用 户 。 因 为 超级 用 户 账 户 可 以 破坏 和 修改 系统 安全 功能 ,所 以 系统 管理 员 每 次 给 予 这 
个 关键 的 访问 级 别 ,就 是 在 增加 系统 被 攻击 的 可 能 。 并 且 , 由 于 只 有 一 个 超级 用 户 账 户 ， 
所 以 要 跟踪 谁 在 使 用 它 是 很 困难 的 。 

SUDO(Set User and Do) 设 计 使 系统 管理 员 能 够 给 超级 用 户 更 精细 级 别 的 访问 权 。 
可 以 为 每 一 个 用 户 指派 通常 只 能 作为 超级 用 户 运行 的 特定 的 应 用 程序 和 功能 ,而 不 是 真 
正 地 使 用 超级 用 户 账户 。SUDO 也 可 以 启用 详细 的 日 志 记 录 , 使 得 可 以 根据 任何 运行 于 
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SUDO 的 超级 用 户 功能 追踪 到 某 个 特定 的 用 户 。 在 特定 的 应 用 中 ,使 用 SUDO 意味 着 没 
有 人 使 用 过 超级 用 户 账户 。 


6 文件 系统 安全 

通过 在 程序 文件 上 设置 SUID 标志 , 某 一 个 进程 可 以 临时 提升 其 特权 用 以 完成 某 项 
任务 (例如 文件 passwd) 。 当 程序 执行 时 ,可 以 暂时 得 到 这 些 额 外 的 特权 而 不 用 被 全 时 授 
予 如 此 高 的 特权 。 这 个 SUID 标志 常常 过 度 使 用 , 当 它 与 被 黑客 修改 过 的 软件 包 结合 时 ， 
被 修改 的 程序 执行 后 会 使 某 个 用 户 得 到 全 时 提升 的 系统 权利 。UNIX 系统 可 能 有 很 多 带 
有 这 个 标志 的 组 件 , 但 是 通常 只 需要 它们 中 的 一 小 部 分 。 建 议 使 用 命令 从 整个 系统 中 删 
除 不 需要 SUID 标志 程序 的 SUID 标志 。 


7 远程 访问 的 安全 

Telnet 和 rlogin 是 UNIX 系统 上 最 常用 的 远程 访问 方式 。 这 些 系统 都 不 采用 加 密 
技术 来 保护 远程 访问 会 话 。 一 种 被 动 的 网 络 监听 攻击 可 以 观察 用 户 在 进入 Telnet 或 者 
rlogin 会 话 中 按 下 的 每 一 个 键 。 安 全 Shell (Secure Shell, SSH) 是 一 种 在 UNIX 及 
Windows NT/2000 系统 上 使 用 的 软件 包 , 它 提供 与 Telnet 和 rlogin 相同 功能 ,但 增加 了 
加 密会 话 功能 。 这 个 软件 包 已 经 成 为 用 加 密 和 访问 控制 的 各 种 可 配置 级 别 进行 安全 远程 
访问 的 行业 标准 。 


8 服务 标题 .操作 系统 指纹 

我 们 已 经 提 到 过 ,平台 加 固 要 减少 系统 泄露 的 信息 数 。 默 认 情 况 下 , 像 telnet 和 ftp 
样 的 服务 在 被 访问 时 ,会 显示 一 个 描述 其 软件 版 本 和 平台 类 型 的 标题 。 攻 击 者 使 用 这 个 
信息 ,通过 检查 任何 含有 关于 特定 软件 版 本 和 类 型 的 可 利用 信息 的 数据 库 , 可 以 确定 该 平 
台 是 否 有 可 利用 的 漏洞 。 许 多 入 侵 者 通过 扫描 Internet 的 整个 区 段 ,寻找 他 们 已 知 可 利 
用 的 服务 的 特定 版 本 漏洞 。 这 个 服务 信息 对 平台 的 正常 运行 完全 是 不 必要 的 ,因此 完全 
可 以 将 之 删除 。 这 样 ,攻击 者 就 只 能 盲目 地 攻击 服务 了 。 

另外 一 个 对 攻击 者 特别 有 用 的 是 系统 平台 的 指纹 信息 。 通 过 使 用 特定 的 工具 查询 系 
统 的 网 络 服务 ,入 侵 者 可 以 将 结果 与 属性 数据 库 相 匹配 ,以 确定 操作 系统 的 类 型 和 版 本 。 
这 样 ,攻击 者 可 以 使 攻击 针对 特定 操作 系统 的 弱点 。 通 常 , 应 把 这 种 指纹 信息 伪装 成 其 他 
操作 系统 ,或 者 可 以 伪装 成 不 与 任何 操作 系统 相 匹 配 。 与 服务 标题 一 样 ,做 这 种 修改 不 会 
影响 平台 的 正常 功能 ,而 且 可 以 大 大 增强 防御 能 力 。 


1523 系统 平台 的 加 固 工具 


加 固 工具 是 一 种 自动 高 效 地 帮助 人 们 确定 系统 平台 的 漏洞 ,并 辅助 人 们 加 固 系 统 平 
台 的 工具 。 目 前 常用 的 加 固 工具 主要 有 以 下 几 种 。 


1. nessus 
nessus 是 一 个 功能 强大 而 又 免费 的 网 络 漏洞 扫描 工具 ,运行 于 POSIX 系统 (Solaris、 
FreeBSD 和 GNU/Linux 等 ) 。 该 系统 被 设计 为 客户 端 /服务 器 模式 ,服务 器 端 (nessusd) 
负责 进行 安全 扫描 ,客户 端 (nessus) 用 来 配置 .管理 服务 器 端 。nessus 在 进行 漏洞 扫描 时 
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不 仅 根据 端口 号 来 判断 服务 类 型 ,还 能 够 检测 出 开设 在 非 标准 端口 的 常见 服务 类 型 ,并 根 
据 其 版 本 号 进行 相应 的 漏洞 检测 。nessus 扫描 结果 可 以 保存 为 多 种 文件 格式 ,并 且 对 每 
种 扫描 出 的 系统 漏洞 给 出 建议 的 加 固 方法 。 


2 HerdenNT 

HardenNT 是 专 为 Microsoft Windows 系统 平台 设计 的 众多 加 固 脚 本 之 一 。 尽 管 
它 的 设计 是 针对 Windows NT 的 ,但 它 的 主要 功能 同样 适用 于 Windows 9x 及 
Windows 2000 。 

HardenNT 主要 完成 以 下 工作 : 

。 根据 操作 系统 版 本 及 CPU 的 结构 安装 相应 的 安全 补丁 ; 

。 限制 用 户 组 的 默认 NT 特权 ; 

。 启动 Windows NT 安全 事件 审计 服务 ; 

。 设置 NTFS ACL 许可 ,删除 / 移 走 重 要 的 安全 文件 ; 

。 保护 Windows 系统 的 注册 表 。 


3. YASSP 

YASSP 是 一 个 用 于 Solaris x 系统 安全 加 固 的 包 。 它 设计 同 Solaris 安装 过 程 一 起 运 
行 。 它 的 目标 是 建立 一 个 面向 Internet 的 平台 (例如 Web 服务 器 、Ftp 服务 器 ) ,但 是 也 
可 以 用 于 内 部 系统 。YASSP 完成 如 下 安全 设置: 

。 禁止 无 用 网 络 服务 ; 

。 解决 文件 属性 及 保护 弱点 问题 ; 

。 启动 系统 日 志 审 记 ; 

。 调整 重要 系统 参数 ,禁止 堆栈 区 执行 代码 。 

YASSP 的 配置 通过 yassp. conf 文件 完成 。 在 这 个 文件 中 ,用 户 指定 希望 YASSP 处 
理 哪 个 文件 。 其 中 可 能 包括 删除 初始 化 文件 或 者 添加 可 以 增强 基本 安全 功能 的 目录 。 


4. ttan 

titan 由 信息 安全 的 先驱 者 Brand M. Powell、Dan Farmer 和 Matthew Arch 开发 。 
它 由 一 系列 可 配置 的 shell 脚本 组 成 。 用 户 可 以 在 诸如 文件 权限 和 根 目 录 等 属性 上 做 低 
级 的 配置 更 改 。 由 于 采用 shell 脚本 编写 ,具有 良好 的 扩展 性 及 移植 性 ,所 以 titan 可 以 在 
多 种 UNIX 版 本 上 运行 。 

人 们 为 titan 编写 了 许多 模块 ,每 个 模块 实施 一 个 特定 配置 的 更 改 。 下 面 是 其 中 一 些 
模块 的 例子 : 

。 禁用 自动 装 入 器 ; 

。 设置 Solaris BSM(Basic Security Module) 来 审核 系统 事件 ; 

。 设置 公共 桌面 环境 以 忽略 危险 的 外 部 连接 ; 
登录 时 ,加 强 所 有 用 户 的 默认 权限 ，; 
。 确保 默认 的 系统 账户 不 会 被 攻击 ; 
删除 不 必要 的 SUID 配置; 
禁用 不 严格 的 信任 关系 。 
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所 有 这 些 模块 都 有 完备 的 文档 ,并 为 用 户 提供 关于 其 功能 的 简要 描述 。 


5 LC4 

LC4 是 针对 Windows 系统 平台 的 密码 审计 及 恢复 工具 。LC4 功能 之 一 是 以 在 线 或 
离线 方式 检测 Windows NT/2000 系统 的 用 户 密码 强度 。 其 网 络 窃听 功能 窃听 所 有 SMB 
会 话 , 用 以 发 现 其 他 系统 用 户 密码 的 弱点 。 


6 tcp 封 装 器 

运行 于 UNIX 系统 上 的 tcp 封装 器 (tcp wrapper) ,完成 对 系统 的 tcp 输入 请 求实 时 
监视 , 若 发 现 是 其 负责 管理 服务 的 连接 请 求 ( 如 telnet \ftp finger\rwho 和 tftp 等 ,定义 在 
inet. conf 中 ) 时 ,首先 进行 一 定 的 验证 (如 通过 host. allow host, deny 等 配置 文件 ) , 当 通 
过 验证 后 ,启动 原 真正 的 服务 器 进程 ,如 in. ftpd 或 in. telnetd 等 对 连接 请 求 进 行 处 理 。 


7 Tipwre 

Tripwire 是 一 种 数据 完整 性 检测 工具 。 它 是 由 Purdue 大 学 COAST 实验 室 的 Gene 
H. Kim 和 Eugene H. Spafford 于 1992 年 开发 的 。 它 们 的 目的 是 建立 一 个 工具 ,通过 这 
个 工具 监视 一 些 重要 的 文件 和 目录 发 生 的 任何 改变 。1997 年 ,Gene H. Kim 和 W. Wyatt 
Starnes 发 起 成 立 了 Tripwire 公司 。 他 们 成 立 这 个 公司 的 目的 之 一 是 发 布 一 个 能 够 用 于 
更 多 平台 的 商业 升级 版 本 Tripwire。 

Tripwire 采用 的 技术 核心 就 是 对 每 个 要 监控 的 文件 产生 一 个 数字 签名 ,保留 下 来 。 
当 文件 现在 的 数字 签名 与 保留 的 数字 签名 不 一 致 时 ,那么 现在 这 个 文件 必定 被 改动 过 了 。 
具体 到 监控 项 目 , 在 Tripwire 的 配置 文件 中 说 明 。 
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1531 系统 设置 


本 节 所 述 UNIX 系统 设置 主要 是 与 安全 相关 的 内 容 , 是 对 不 同 厂 商 UNIX 系统 设置 
的 抽象 浓缩 ,所 以 不 涉及 具体 命令 ,相关 内 容 请 查阅 相应 UNIX 系统 管理 员 指 南 。 


1. 安装 系统 补丁 及 其 他 重要 的 安全 软件 

(1) 安装 最 新 补丁 程序 

安装 UNIX 系统 后 ,首先 要 做 的 工作 是 安装 操作 系统 补丁 程序 ,补丁 程序 是 操作 系 
统 厂 商 根据 系统 安全 漏洞 CCVE) 对 操作 系统 所 做 的 修改 , 它 对 系统 的 安全 及 可 靠 性 是 至 
关 重 要 的 。 

(2) 重要 的 安全 软件 

Q@ SSH。 在 SANS/FBI 公布 的 2003 年 10 大 UNIX 安全 漏洞 中 ,ftp 及 telnet 会 话 
用 户 名 及 密码 等 敏感 信息 以 明文 传送 名 列 其 中 。SSH 协议 解决 了 登录 及 文件 传输 会 话 
安全 加 密 问题 ,OpenSSH 是 一 个 免费 且 符 合 SSH 协议 的 软件 包 。 
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加 TCP Wrapper。TCP Wrapper 允许 系统 管理 员 通 过 远程 连接 的 IP 地 址 来 控制 谁 
能 够 访问 系统 提供 网 络 服务 。 通 过 使 用 系统 的 Syslog, TCP Wrapper 能 够 记录 下 所 有 成 
功 及 未 成 功 的 连接 。 


2 将 inetd 提 供 的 网 络 服务 减 至 最 小 
最 小 化 网 络 服务 ,如 果 有 可 能 去 掉 telnet、ftp、tftp、rlogin/rsh/rcp 及 与 X 窗口 相关 
的 守护 进程 ,该 项 工作 与 UNIX 版 本 有 关 , 在 Solaris 系统 中 为 编辑 inetd. conf 文件 。 


3 最 小 化 系统 启动 后 所 提供 的 应 用 服务 

如 果 没 有 绝对 的 必要 ,应 关闭 以 下 服务 : 串口 登录 服务 .邮件 服务 .基于 Windows 系 
统 的 Samba 服务 `NFS 服务 器 及 客户 端 进 程 .RPC 服务 .目录 服务 .打印 机 守护 进程 、 
Kerberos 服务 、X 服务 、Web 服务 器 .SNMP 服务 .DHCP 服务 .DNS 或 NIS 服务 及 路 由 
守护 进程 。 最 后 应 设置 系统 守护 进程 正确 的 umask 为 022。 


4 系统 核心 参数 的 调整 

通过 调整 核心 参数 来 达到 加 固 系统 平台 的 目的 。 有 具体 参数 根据 系统 的 不 同 有 很 大 差 
异 。 通 常 ,核心 参数 包括 : 

Q@ 禁止 系统 转 储 核心 文件 ; 

@ 禁止 堆栈 执行 代码 ,防止 缓冲 区 溢出 ; 

@ 修改 网 络 参 数 , 例 如 ,在 Solaris 系统 中 使 用 ndd-set 命令 修改 /dev/ip 及 /dev/tcp 
等 参数 ,在 Linux 下 ,使 用 echo 命令 修改 /proc/sys/net/ipv4 目录 中 的 参数 。 具 体 每 个 参 
数 的 名 称 及 功能 需 查阅 相应 UNIX 系统 提供 商 所 提供 的 系统 管理 员 指 南 。 


5 加 强 日 志 功 能 

为 了 跟踪 系统 的 各 种 活动 ,及 时 发 现 各 种 攻击 及 出 现 问 题 后 处 理 , 安 全 专家 建议 应 加 
强 系统 的 日 志 记录 功能 。 为 了 保证 系统 安全 ,应 对 下 面 事件 进行 记录 ， 

。LOG_AUTH。 用 于 记录 用 户 所 有 成 功 或 失败 的 系统 登录 请 求 ; 

。 ftp 服务 连接 信息 ; 

。 当 必 须要 使 用 ftp 服务 时 ,要 启动 ftp 服务 连接 跟踪 日 志 功 能 ; 

。 启用 所 有 cron 活动 的 日 志 ; 

。 确认 所 有 系统 日 志文 件 的 访问 权限 为 664, 及 文件 的 属性 及 同 组 用 户 具 有 写 权限 。 


6 文件 及 目录 访问 许可 权 设 置 

确认 所 有 重要 系统 文件 及 目录 的 访问 许可 权 , 需 要 确认 的 文件 如 下 。 

(1) 以 ro/nosuid 方式 mount 文件 系统 

确认 除 系统 文件 所 在 卷 及 一 些 必 要 程序 所 在 的 卷 外 ,其 他 卷 以 ro/nosuid 方式 
mount, 以 防 恶 意 程序 执行 suid 操作 。Solaris 系统 是 修改 vfstab 文件 ,Linux 系统 是 修 
改 /etc/fstab 文件 。 

(2) 设置 关键 文件 访问 许可 

通过 以 下 命令 设置 关键 文件 访问 许可 权 : 
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nod 644 passwd group 

chmpd 400 shadow 

(3) 在 任意 账号 可 写 的 临时 目录 上 设置 粘贴 位 

通过 使 用 命令 chmod 十 t dirname, 可 在 任意 账号 可 写 的 临时 目录 上 设置 粘贴 
位 ,以 防 某 用 户 有 意 或 无 意 重 写 其 他 用 户 创建 的 临时 文件 。 其 中 dir-name 表示 目录 
名 。 例 如 : 


chmdr t/tmp 


(4) 找 出 非 授权 的 SUID/SGID 执行 程序 
系统 管理 员 有 责任 找 出 所 有 系统 中 存在 的 非 授 权 的 SUID/SGID 执行 程序 。 以 下 命 
令 用 于 找 出 系统 所 有 设置 SUID/SGID 的 程序 。 


find/-type f\ (Perm 04000-cperm 02000\) - print 


7. 系统 访问 .身份 鉴别 及 授权 

(1) 删除 /etc/pam. conf 或 /etc/pam. d. rhost 中 的 . rhost 支持 

在 使 用 BSD 的 R 系列 命令 (rlogin、rsh、rcp) 时 ,. rhost 文件 实现 了 基于 远程 网 络 地 
址 或 主机 名 的 弱 身份 鉴别 ,潜在 的 攻击 者 是 非常 容易 伪造 网 络 地 址 及 主机 名 的 。 删 
除 . rhost 支 持 可 防止 系统 免 遭 此 类 攻击 。Solaris 系统 下 的 命令 脚本 是 : 

cd /etc 

grep - V mhost_auth Pam.conf> pam.conf.new 

chroot root:sys Pam.conf 

chmod 644 pam-conf 


(2) 建立 /etc/ftpuser 文件 

ftpuser 文件 列 出 了 不 能 够 通过 ftp 访问 系统 的 用 户 清单 。 通 常 , 仅 允 许 普 通 账号 的 
用 户 能 够 通过 ftp 访问 系统 ,而 系统 账号 ,如 root、 daemon、 bin、sys、adm、1lp、uucp 和 
smmsp 等 应 禁止 。 

(3) 禁止 X 服务 器 监听 tcp 6000 通道 

X 服务 器 通过 监听 tcp 6000 通道 的 请 求 来 向 远程 X 客户 提供 服务 ,由 于 X 窗口 使 用 了 
相对 较 弱 的 身份 认证 协议 ,攻击 者 可 以 未 经 授权 地 访问 本 地 X 服务 器 ,从 而 暴露 系统 敏感 
信息 。 管 理 员 应 使 用 nolisten tcp 选项 来 禁止 X 服务 器 监听 tcp 通道 6000 的 服务 请 求 。 

(4) 设置 屏幕 保护 

当 使 用 X 窗口 时 ,应 设置 屏幕 保护 ,同时 设置 需要 使 用 口令 来 恢复 X 窗口 会 话 。 

(5) 严格 限制 使 用 cron/at 用 户 

cron 及 at 命令 用 于 定时 执行 系统 命令 ,在 某 些 UNIX 系统 中 ,cron 及 at 以 超级 用 户 
身份 执行 。cron. allow 及 at. allow 列 出 了 允许 使 用 cron 及 at 的 用 户 名 。 

(6) 限制 以 root 身份 登录 到 系统 控制 台 

除非 在 紧急 情况 下 ,否则 禁止 使 用 root 账号 登录 系统 。 通 常 , 系 统管 理 员 应 通过 使 
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用 非特 权 账 号 及 一 些 授权 机 制 (例如 su 命令 ) 来 获得 普通 账号 以 外 的 权限 。Solaris 系统 
为 修改 /dev/console 文件 ,Linux 系统 为 修改 /etc/securetty 文件 。 


8 用 户 账 号 及 环境 

系统 管理 员 在 正常 情况 下 应 设置 的 项 目 如 下 : 

(1) 锁定 系统 账号 。 系 统管 理 员 应 锁定 非 普 通用 户 的 账号 。 通 过 查询 文件 /etc/ 
passwd 可 以 找到 所 有 要 锁定 的 系统 账号 。 例 如 daemon、 bin、sys、adm、1lp、uucp 和 
smmsp 等 情况 根据 系统 及 安装 程序 不 同 而 变化 。 使 用 命令 为 : 


passwd- 1 user-name 
(2) 确认 是 否 有 无 口令 的 账号 。 使 用 如 下 命令 显示 无 口令 的 账号 : 
awk - F:'($ 22="){print$ 1} /etc/shadow 


(3) 确认 除 root 账号 以 外 ,没有 UID 为 0 的 账号 。UID 为 0 的 账号 具有 超级 用 户 权 
限 。 使 用 下 面 命令 显示 UID 为 0 的 账号 : 
awk - F:' ($3= 0){print$ 1} /etc/passwd 
(4) 确认 root 的 当前 路 径 及 路 径 PATH 指定 路 径 的 root 组 可 写 目 录 中 文件 ,以 防 
植 入 木马 程序 。 
(5) 保证 用 户 起 始 目录 正确 权限 设置 。 组 用 户 或 任意 用 户 可 写 用 户 起 始 目录 的 属 
性 ,很 有 可 能 使 一 些 恶意 用 户 利 用 ,用 以 窃取 或 修改 受害 用 户 数据 ,以 至 于 得 到 用 户 权限 。 
应 使 用 以 下 脚本 修改 用 户 起 始 目 录 权 限 为 750 或 更 加 严格 。 
for dir in awk - F:'($ 3=500) {print$ 6} /etc/passwd 
db 
chmdgw $ dir 
chmpd crwx $ dir 
done 
注意 : 其 中 500 表示 系统 分 配给 普通 用 户 的 最 低 UID, 该 值 取决 于 UNIX 系统 。 
(6) 删除 用 户 起 始 目录 中 的 . netrc 文件 。 该 文件 包含 了 ftp 客户 自动 登录 到 ftp 服 
务 器 所 用 的 用 户 名 及 口令 等 敏感 信息 , 且 这 些 信 息 以 明文 存放 。 使 用 以 下 脚本 自动 删除 
所 有 用 户 起 始 目 录 中 的 . netrc 文件 ， 
for dir in 'cut - f6 d: /etc/passwud 
ab 
m- 工 $dir/.netrc 
aone 
(7) 设置 默认 用 户 umask 位 。umask 位 表示 用 户 建立 文件 的 默认 读 写 权 限 。 正 确 的 
读 写 权限 可 以 防止 用 户 的 敏感 信息 被 窃取 、 修 改 及 账号 泄露 。umask 077 表示 用 户 所 创 
建 的 文件 不 能 由 其 他 用 户 读 、 写 及 执行 ,而 umask 022 则 表示 用 户 所 创建 的 文件 对 系统 中 
其 他 用 户 只 开放 读 权限 。 设 置 umask 位 的 方法 是 ,在 标准 的 shell 构成 文件 中 ( 依 不 同 的 
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UNIX 及 shell 而 定 , 例 如 ,Solaris 系统 下 使 用 B shell 时 的 构成 文件 为 用 户 起 始 目录 下 
的 . profile 文件 ) 插 入 一 条 umask 命令 。 


1532 用 户 管理 


UNIX 系统 用 户 分 为 两 类 ,一 类 称 为 系统 用 户 , 这 是 给 系统 管理 员 等 对 系统 特殊 要 求 
的 用 户 使 用 的 。 这 类 用 户 具 有 某 些 特权 ,其 中 以 超级 用 户 (root) 权 限 最 高 ,root 账号 在 系 
统 安装 时 创建 。 另 一 类 用 户 是 普通 用 户 ,一 般 的 系统 使 用 者 都 是 系统 的 普通 用 户 , 这 类 用 
户 由 系统 管理 员 创建 。 用 户 管理 主要 是 指 管理 员 对 普通 用 户 的 创建 和 删除 、 修 改 用 户口 
令 、 暂 停 某 账号 使 用 、 修 改 用 户 属性 等 日 常 维护 工作 。 


1533 系统 管理 


系统 管理 是 由 系统 管理 员 完成 的 一 项 复杂 的 日 常 工作 。 通 常 ,系统 管理 员 要 完成 的 
工作 包括 启动 系统 ,停止 系统 和 运行、 安装 新 软件 .增加 新 用 户 、 删 除 老 用 户 .端口 服务 管理 、 
打印 服务 管理 ,文件 系统 维护 ,数据 备份 与 恢复 .网 络 系统 管理 .系统 性 能 维护 ,以 及 完成 、 
保持 系统 发 展 和 运行 的 日 常事 务工 作 。 

系统 安全 管理 的 主要 内 容 如 下 : 

。， 防 止 未 授权 存 取 ; 

”防止 泄密 ; 

。 防止 用 户 拒绝 系统 的 管理 ; 

。 防止 丢失 系统 的 完整 性 。 


154 ”Windows 2000 服务 器 安全 


1 系统 设置 

(1) 安装 系统 补丁 

Microsoft 补丁 程序 分 为 3 种 类 型 , 

GD Service Pack 。 

Microsoft 原 计划 几 个 月 发 布 一 次 ,包括 至 发 布 之 日 止 系 统 全 部 大 小 bug 修补 。 

@ Hotfix。 

及 时 发 布 的 每 个 小 的 系统 bug 的 修补 ,有 时 甚至 在 发 现 系 统 bug 数 小 后 即 可 发 布 ， 
基本 上 是 发 现 一 个 bug ,发 布 一 个 hotfix。 

©® Hotfix Rollup。 

周期 性 地 发 布 , 它 是 hotfix 的 累计 。 其 中 安装 中 .加 所 述 补丁 是 在 系统 安装 完成 后 做 
的 第 一 项 工作 ,而 安装 加 所 述 补丁 是 日 常 系统 维护 中 要 做 的 工作 。 

(2) 最 小 化 系统 服务 

按 下 列 步骤 进入 服务 管理 菜单 , 逐 项 审核 服务 ,关闭 不 需要 的 服务 : 依次 选择 “ 开 
始 ” 一 设置 ”控制 面板 ”~ 服务 命令 。 
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Windows 2000 Server C2 级 别 安装 的 默认 服务 : 


多 TCP/IP 
好 Computer Browser NetBIOS 


@ Jicrosoft DNS Server Helper 
季 Netlogon 名 Spooler 
锰 NTLN SSP 多 Server 
BRPC Locator 和 WINS 


包 RPRC Service 急 Workstation 
mEvent Log 


(3) 文件 系统 设置 
确保 所 有 磁盘 卷 格式 化 为 NTFS 文件 系统 。 


2 账户 策略 

必须 加 强 账 号 管理 。 建 立 账 号 策略 为 : 密码 最 短 存 留 期 1 天 、 密 码 最 长 存留 期 90 天 、 
密码 长 度 最 小 值 8 个 字符 ,启用 密码 符合 复杂 性 要 求 ,强制 记 住 密码 使 用 历史 为 24 个 、 停 
用 可 还 原 的 加 密 密 码 存 储 方式 、 账 户 锁定 时 间 大 于 15 分 钟 、 账 户 锁定 阐 值 最 多 3 次 ,复位 
账户 锁定 时 间 大 于 15 分 钟 。 


3 审计 策略 

审计 策略 实现 对 系统 和 计算 机 状态 的 追踪 和 记录 。 通 过 对 这 些 记录 的 管理 ,系统 管 
理 员 可 以 明确 系统 的 运行 情况 ,在 出 现 问题 的 时 候 ,能 够 及 时 进行 问题 分 析 , 快 速 处 理 和 
解决 。 应 建立 审计 策略 : 审核 账户 所 有 成 功 和 失败 用 户 登录 事件 (本 地 账户 及 域 账 户 ) 、 
审核 所 有 成 功 和 失败 账户 管理 事件 .审核 特定 对 象 的 失败 访问 、 审 核 所 有 尝试 修改 用 户 权 
限 及 策略 的 行为 .审核 特权 使 用 、 审 核 系统 成 功 和 失败 事件 (包括 计算 机 的 启动 与 停止 )、 
所 有 日 志文 件 必须 大 于 80M、 禁 止 guest 账号 访问 日 志文 件 .日志 覆 盖 方 式 选 择 按照 需要 
改写 事件 的 方法 。 


4 配置 安全 选项 

通过 配置 系统 安全 选项 ,增强 系统 安全 性 。 需 要 配置 的 安全 选项 为 : 禁止 匿名 访问 、 
禁止 服务 器 操作 员 计 划 任 务 .禁止 在 未 登录 前 关机 、 只 允许 Administrators 印 载 或 弹出 可 
移动 NTFS 媒体 、 在 挂 起 会 话 前 所 需要 的 空闲 时 间 大 于 30 分 钟 、. 根 据 需要 开启 审计 对 全 
局 系统 对 象 的 访问 及 备份 和 还 原 权限 的 审计 日 志 、 当 登录 时 间 用 完 时 自动 注销 用 户 登录 
(本 地 及 域 用 户 ) 、 系 统 关闭 时 清除 虚拟 内 存 页 面 文件 .为 尽量 提高 通信 的 安全 性 , 当 协 商 
可 以 使 用 安全 通信 的 时 候 , 使 用 安全 的 数字 签字 通信 、 用 户 必 须 按 Ctrl 十 Alt 十 Delete 组 
合 键 登 录 系 统 \ 不 显示 上 次 登录 用 户 名 、LAN Manager 身份 验证 级 别 应 为 NTLMv2 、 实 
现 必要 的 安全 告知 可 被 缓冲 保存 的 前 次 登录 个 数 为 0、 允许 更 改 机 器 账户 密码 ,禁止 用 
户 安装 打印 机 了 驱动、 提前 14 天 进行 更 改 密码 提示 ,故障 恢复 控制 台 禁 止 自 动 系统 管理 员 
级 登录 故障 恢复 控制 台 禁 止 对 所 有 驱动 器 和 文件 夹 进 行 软盘 复制 和 访问 、 重 命名 系统 管 
理 员 账 号 Administrators 为 其 他 名 字 、 重 命名 来 宾 账 号 guest 为 其 他 名 字 、 只 有 本 地 登录 
的 用 户 才 能 访问 CD-ROM、 只 有 本 地 登录 的 用 户 才能 访问 软盘 驱动 器 、 尽 可 能 使 用 安全 
的 通信 ,禁止 发 送 未 经 加 密 的 密码 到 第 三 方 SMB 服务 器 ,智能 卡 移 除 后 锁定 工作 站 、 安 
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装 未 签名 驱动 程序 或 其 他 程序 至 少 发 出 警告 允许 安装 或 不 允许 安装 、 禁 用 Dr. Watson 
故障 记录 ,禁止 系统 调试 器 的 自动 运行 禁止 自动 播放 磁盘 媒体 上 的 任何 应 用 程序 、 禁 止 
任何 用 户 的 自动 播放 功能 ,禁止 自动 登录 、 禁 用 拨 入 方式 访问 服务 器 、 停 用 蓝屏 后 自动 重 
新 启动 功能 .禁用 CD 自动 播放 、 删 除 服务 器 上 的 默认 共享 ,保护 计算 机 浏览 器 不 被 欺骗 、 
防止 源 路 由 攻击 保护 默认 网 关 网 络 设 置 .确认 ICMP 最 短路 径路 由 ,防止 数 据 包 碎片 攻 
击 \ 设 置 对 活动 连接 的 检查 时 间 间 隔 为 5 分 钟 , 设 置 参 数 以 防 恶 意 命名 攻击 、 设 置 参 数 用 
以 防范 SYN 洪 泛 攻击 ,设置 TCP 最 大 半 连 接 数 100 一 500 ,设置 TCP 最 大 半 连 接 丢 弃 数 
80 一 400 .启用 IPSec 保护 Kerberos RSVP 通信 。 


5 服务 安全 配置 

根据 服务 最 小 化 的 原则 关闭 一 些 不 必要 的 服务 ,禁用 一 些 存在 安全 漏洞 的 服务 。 对 
服务 的 配置 为 : 禁用 Alerter,Clipbook ,Computer Browser,Fax Service, FTP Publishing 
Service, Internet Connection Sharing, Messenger, Remote Registry Service, Routing and 
Remote Access, Simple Network Management Protocol (SNMP) Trap, Telnet, 对 于 内 部 
服务 器 禁用 Automatic Updates, Background Intelligent Transfer Service, 如 没有 必要 禁 
止 使 用 IIS Admin Service, NetMeeting Remote Desktop Sharing, World Wide Web 


Publishing Services。 


6 用 户 权 限 安全 设置 

本 着 最 小 化 原则 ,通过 依次 选择 “本 地 安全 设置 "一 “本 地 策略 ”>“ 用 户 权 限 分 配 ” 命 
令 , 严 格 控制 用 户 访问 系统 的 权限 。 控 制 用 户 访问 权限 包括 : 控制 Users 及 
Administrators 组 中 的 用 户 通过 网 络 访问 本 计算 机 、 禁 止 赋予 系统 的 管理 权限 到 其 他 用 
户 、 禁 止 用 户 在 域 中 加 新 的 工作 站 的 操作 、 限 制 只 有 Administrators 才能 完成 文件 及 文件 
夹 的 备份 操作 、 跳 过 遍历 检查 为 Users、 更 改 系统 时 间 为 Administrators、 创 建 页 面 文件 为 
Administrators、 创 建 标记 对 象 为 空 , 创 建 永久 共 享 对 象 为 空 .调试 程 序 为 空 .拒绝 从 网 络 
访问 本 机 器 为 Guests ,拒绝 作为 批 处 理 作 业 登 录 为 空 .拒绝 作为 服务 登录 为 空 .拒绝 本 地 
登录 默认 为 空 .允许 计算 机 和 用 户 账户 被 信任 以 便于 委任 为 空 、 从 远 端 系统 强制 关机 为 
Administrators、 生 成 安全 审核 为 空 ,磁盘 卷 的 维护 任务 由 Administrators 执行 ,增加 进度 
优先 级 为 Administrators ,装载 和 纯 载 设备 驱动 程序 为 Administrators、 内 存 中 锁定 页 面 
为 空 .作为 批 处 理 作业 登录 为 空 、 作 为 服务 登录 为 空 .允许 在 本 地 登录 为 Administrators、 
管理 审核 和 安全 日 志 为 Administrators、 修 改 固件 环境 值 为 Administrators、 配 置 单一 进 
程 为 Administrators、 配 置 系统 性 能 为 Administrators、 从 扩展 域 中 取出 计算 机 为 
Administrators、 替 换 进程 级 别 标记 为 空 ,恢复 备份 文件 和 目录 为 Administrators、 关 闭 系 
统 为 Administrators、 同 步 目 录 服 务 数据 为 空 , 取 得 文件 或 其 他 对 象 的 所 有 权 为 


Administrators。 


7. 文 件 权 限 设 置 
目录 及 文件 的 访问 原则 应 遵守 : 除非 特别 声明 ,只 有 Administrators 及 系统 具有 对 
系统 目录 及 所 有 系统 文件 的 完全 控制 ,文件 及 目录 的 创建 者 具有 对 文件 及 其 子 目录 的 完 
全 控制 ,用 户 的 权限 仅 限于 用 户 的 当前 目录 子 目 录 及 其 文件 。 系 统管 理 员 必须 逐一 检查 
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设置 文件 及 目录 的 访问 权限 。 


8 注册 表 权 限 设置 

除非 特别 需要 ,Administrators 或 System Full Control 对 所 有 的 键 值 和 子 键 都 有 完 
全 的 控制 权限 。Creator Owner Full Control 只 对 子 键 有 控制 权限 。Users 许可 主要 是 对 
用 户 自身 的 键 值 、 子 键 和 值 有 控制 权限 。 


15.5 本章 小 结 
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系统 平台 是 指 网 络 操作 系统 (network operating system，NOS) 平 台 , 即 使 网 络 上 
各 计算 机 能 方便 而 有 效 地 共享 网 络 资源 ,为 网 络 用 户 提供 所 需 的 各 种 服务 软件 和 
有 关 规 程 的 集合 。 目 前 常见 的 NOS 是 Microsoft Windows NT/2000/2003/Vista 
系列 .UNIX 系列 及 Novell 的 NetWare。 

每 个 平台 无 论 是 硬件 或 软件 ,都 存在 着 漏洞 。 作 为 网 络 安全 的 基础 ,网 络 操作 系 
统 也 不 例外 。 从 某 种 意义 上 讲 , 系 统 平台 的 风险 大 小 取决 于 网 络 操作 系统 漏洞 的 
多 少 及 严重 程度 。SANS/FBI 公布 的 2006 年 排名 前 20 名 的 Internet 最 严重 的 
安全 漏洞 中 ,网 络 操作 系统 的 漏洞 占 了 1/3。 

平台 加 固 是 一 种 用 来 分 析 及 确定 主机 系统 平台 的 弱点 并 引入 适当 的 配置 .更 改 及 
管理 以 保护 主机 及 其 应 用 程序 免 受 攻击 的 方法 。 平 台 加 固 与 网 络 操作 系统 种 类 
密切 相关 。 加 固 系统 包括 从 系统 中 删除 不 必要 的 服务 .软件 及 用 户 ,防止 系统 敏 
感 信息 泄露 .加 强 账号 口令 强度 .使 用 系统 审计 功能 及 使 用 各 种 系统 加 固 工具 等 
措施 。 


习 题 


. 简 述 网 络 操作 系统 概念 及 种 类 。 


了 解 Windows 及 UNIX 操作 系统 有 哪些 主要 漏洞 ? 


. 简 述 系统 平台 加 固 的 主要 步骤 。 
. 用 户口 令 选择 有 哪些 策略 ? 你 了 解 哪些 检测 口令 强度 的 工具 ? 


第 16 登 
”应 用 安全 


本 章 要 点 : 

。 应 用 安全 的 概念 及 其 涉及 的 安全 服务 和 安全 机 制 ; 
。 应 用 安全 的 风险 与 需求 分 析 ; 

。 应 用 安全 的 体系 构架 ; 

。 应 用 安全 的 服务 模式 ; 

。 应 用 安全 的 解决 方案 。 


161 ”应 用 安全 概述 


应 用 安全 是 指 信息 在 应 用 过 程 中 的 安全 ,也 就 是 信息 的 使 用 安全 。 按 照 ISO 7498-2 
标准 给 出 的 基于 OSI 七 层 协议 参考 模型 的 信息 安全 体系 结构 ,定位 于 应 用 层 的 信息 
安全 。 

信息 的 应 用 涉及 信息 用 户 ( 即 主体 ) 和 信息 数据 ( 即 客体 )。 信 息 的 应 用 过 程 就 是 主体 
对 客体 的 访问 和 操作 过 程 。 应 用 安全 的 日 的 是 要 保证 信息 用 户 的 真实 性 ,信息 数据 的 机 
密 性 完整 性 .可 用 性 ,以 及 信息 用 户 和 信息 数据 的 可 审 性 ,以 对 抗 身份 假冒 .信息 窃取 、 数 
据 复 改 ,越权 访问 和 事后 否认 等 针对 信息 应 用 的 安全 威胁 。 

应 用 安全 服务 包括 鉴别 服务 、 机 密 性 服务 、 完 整 性 服务 、 访 问 控制 服务 、 抗 否认 服 
务 、 审 计 跟 踪 服 务 和 安全 管理 服务 。 安 全 服务 由 安全 机 制 提供 ,包括 鉴别 机 制 、, 加 密 机 
制 \ 完 整 性 机 制 . 访 问 控制 机 制 、 数 字 签 名 机 制 、. 抗 否认 机 制 、 安 全 审计 和 报警 机 制 、 公 
正 机 制 ,以 及 可 信 机 制 , 安 全 标记 机 制 事 件 检测 机 制 、 安 全 恢复 机 制 和 路 由 选择 机 制 
等 普遍 安全 机 制 。 安 全 服务 与 安全 机 制 的 关系 是 ,一 种 安全 服务 可 以 通过 某 种 安全 机 
制 单独 提供 ,也 可 以 通过 多 种 安全 机 制 联 合 提供 ;一 种 安全 机 制 可 以 提供 一 种 或 多 种 
安全 服务 。 


i623 ”应 用 安全 的 风险 与 需求 


应 用 安全 的 主要 风险 包括 身份 假冒 ,信息 穷 取 数据 自 改 、 越 权 访问 和 事后 否认 等 。 
。 身份 假冒 ,非法 用 户 利用 合法 用 户 的 身份 ,访问 系统 资源 。 其 风险 来 源 主要 有 两 
点 : 一 是 应 用 系统 的 身份 认证 机 制 比较 薄弱 ,如 把 用 户 信 息 ( 如 用 户 名 口令) 在 
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网 上 明文 传输 ,造成 用 户 信 息 泄 露 ;二 是 用 户 自身 安全 意识 不 强 , 如 使 用 简单 的 口 
令 ,或 把 口令 记 在 计算 机 旁边 等 明 处 。 
。 信息 窃取 ,攻击 者 利用 网 络 窃听 工具 窃取 经 由 网 络 传输 的 数据 包 , 通 过 分 析 获 得 
重要 的 信息 。 
。 数据 算 改 ,攻击 者 自 改 网 络 上 传输 的 数据 包 ,使 数据 接收 方 接收 到 不 正确 的 数据 。 
数据 重 放 也 是 一 种 对 数据 完整 性 的 破坏 , 即 攻击 者 抓获 网 络 上 传输 的 数据 包 , 重 
复 地 发 送 到 目的 地 。 
。 越权 访问 ,非法 用 户 或 者 合法 用 户 访问 在 其 权限 之 外 的 系统 资源 。 其 风险 来 源 于 
两 点 : 一 是 应 用 系统 没有 正确 设置 访问 权限 ,使 合法 用 户 通过 正常 手段 就 可 以 访 
问 到 不 在 权限 范围 之 内 的 资源 ;二 是 应 用 系统 中 存在 一 些 后 门 、 隐 通道 、 陷 阱 等 ， 
使 非法 用 户 ( 特 别 是 系统 开发 人 员 ) 可 以 通过 非法 的 途径 进入 应 用 系统 。 
。 事后 否认 ,数据 发 送 方 或 接收 方 抵赖 曾经 发 送 过 或 接收 到 了 数据 。 
除了 上 述 众 所 周知 的 风险 外 ,还 有 一 种 容易 忽视 的 应 用 安全 风险 , 即 应 用 系统 引入 安 
全 服务 和 机 制 过 程 中 的 风险 。 常 规 的 安全 系统 与 应 用 系统 的 耦合 是 在 应 用 程序 中 通过 应 
用 编程 接口 (Application Programming Interface,API) 调 用 由 专业 安全 厂商 提供 的 各 种 
安全 功能 模块 或 组 件 来 实现 ,这 就 需要 应 用 开发 商 具备 一 定 的 安全 知识 和 技能 ,才能 将 这 
些 不 同 的 安全 功能 模块 有 机 地 结合 ,实现 应 用 系统 所 需 的 安全 特性 和 级 别 。 但 是 ,普遍 的 
应 用 开发 商 毕 竟 不 是 专业 安全 厂商 ,加 之 安全 问题 比 应 用 问题 更 加 复杂 ,因此 ,上 述 耦 合 
方式 不 仅 增加 了 应 用 系统 的 复杂 度 和 应 用 开发 商 的 负担 ,而 且 在 耦合 过 程 中 容易 出 现 新 
的 安全 漏洞 ,不 能 保证 最 终 系统 达到 预想 的 安全 水 准 。 所 以 ,在 安全 体系 设计 时 ,要 充分 
考虑 "应 用 安全 实现 的 可 控 性 ,以 便 尽 可 能 地 降低 安全 系统 与 应 用 系统 结合 过 程 的 风险 。 
应 用 安全 需求 包括 两 个 方面 : 一 是 应 用 安全 服务 和 机 制 , 即 面向 应 用 的 安全 系统 自 
身 ; 二 是 安全 系统 与 应 用 系统 的 结合 。 应 用 安全 服务 和 机 制 可 参见 第 4 章 。 
安全 系统 与 应 用 系统 的 结合 是 实现 应 用 安全 的 必要 过 程 ,这 一 过 程 是 存在 风险 的 。 
两 者 结合 的 效果 直接 影响 着 最 终 的 系统 安全 水 准 , 有 必要 采取 有 效 方法 和 措施 保证 两 者 
的 低 风险 结合 。 为 了 把 两 者 的 结合 过 程 对 安全 水 准 的 影响 降 到 最 低 点 ,保证 结合 后 的 系 
统 达 到 安全 系统 提供 的 最 高 安全 水 准 ,需要 把 握 如 下 几 点 原则 : 
。 保持 安全 系统 与 应 用 系统 的 相互 独立 性 ,避免 功能 实现 上 的 交叉 或 跨越 。 
。 避免 程序 级 别 的 低层 接口 ,免除 两 者 结合 时 应 用 系统 的 二 次 编程 开发 。 
。 增强 安全 系统 的 适用 性 ,最 大 限度 地 提供 便捷 可 靠 的 结合 方式 。 
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应 用 安全 服务 是 建立 在 能 够 提供 信任 服务 的 基础 设施 之 上 的 。 这 一 点 与 各 种 电器 设 
备 建立 在 电力 基础 设施 上 的 道理 是 一 样 的 。 只 有 在 公认 和 权威 的 信任 设施 之 上 ,各 种 应 
用 安全 服务 才能 有 可 靠 的 根基 ,才能 提供 可 信 的 服务 。 
公 钥 基础 设施 (Public Key Infrastructure, PKI) 作 为 国际 上 公认 和 普遍 采用 的 信 
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息 安全 保障 体系 的 基础 设施 ,提供 信任 和 安全 服务 。PKI 利用 公 钥 理论 和 技术 建设 
具有 通用 性 的 、 高 水 准 的 安全 基础 设施 ,目标 是 全 面 提高 建立 在 其 上 的 应 用 系统 的 
安全 玉 平 。 
影响 PKI 推广 的 因素 分 析 如 下 : 

。 正面 因素 ,Internet 的 普及 和 应 用 ,特别 是 电子 商务 和 电子 政务 等 高 安全 级 别 的 应 

用 ,对 无 用 户 边界 的 Internet 的 信任 机 制 提出 了 严格 要 求 ,PKI 也 因此 应 运 而 生 。 
PKI 中 的 可 信 第 三 方 一 一 证 书 认证 中 心 (Certificate Authority,CA) ,可 以 解决 无 
边界 用 户 的 身份 确定 问题 ,提供 了 信任 的 基础 。 因 此 ,当今 网 络 应 用 ,特别 是 基于 
Internet 的 应 用 需要 PKI。 

。 负面 因素 ,PKI 自身 机 制 具 有 一 定 的 复杂 度 , 除 了 CA 的 建设 ,维护 和 管理 ,使 用 
好 CA 颁发 的 数字 证 书 也 不 是 一 件 轻松 的 事情 ,需要 一 定 的 安全 知识 .技能 和 编 
程 工作 。 因 此 ,还 不 能 像 电 力 基础 设施 ,只 要 插 上 电源 插座 便 可 使 用 那样 ,容易 推 
广 使 用 。 

。 可 控 因 素 , 如 何 使 CA 与 应 用 能 够 安全 和 便捷 地 相 结 合 是 一 个 可 控制 的 因素 ， 
做 得 好 便 成 为 促进 PKI 推 广 的 正面 因素 ,做 不 好 便 成 为 阻碍 PKI 推广 的 负面 
因素 。 

全 面 的 PKI 理解 应 包括 两 个 方面 : 一 个 是 数字 证 书 的 签发 和 管理 , 另 一 个 是 数字 证 
书 的 使 用 。 

证 书 认 证 中 心 是 数字 证 书 的 签发 和 管理 机 构 ,证 书 反映 持 有 者 的 身份 。 如 同 国家 护 
照管 理 部 门 与 护照 .信用 卡 公 司 与 信用 卡 的 关系 ,CA 从 功能 和 服务 上 讲 ,只 负责 证 书 的 
签发 和 管理 ,证 明证 书 与 持 有 者 的 关系 。 同 时 提供 诸如 加 解密 ,数字 签名 等 与 证 书 相关 的 
安全 功能 模块 。 但 如 何 使 用 证 书 及 其 相关 的 安全 功能 模块 满足 应 用 系统 的 实际 安全 需 
求 ,不 是 CA 的 任务 。 

应 用 安全 中 心 (AAs) 负 责 数字 证 书 的 使 用 ,实现 面向 应 用 的 各 种 安全 服务 ,以 满足 各 
种 环境 下 不 同 应 用 的 安全 需求 。AAs 表示 以 身份 认证 中 心 AA (Authentication 
Authority) ,授权 中 心 AA(Authorization Authority)、 审 计 中 心 AA(Audit Authority) 和 
管理 中 心 AA(Administration Authority) 等 为 代表 的 应 
用 安全 机 制 中 心 。AAs 为 应 用 系统 提供 整套 且 有 机 结 
合 的 安全 服务 ,起 着 CA 通 向 应 用 的 桥梁 和 纽带 作用 。 

综 上 所 述 ,CA 是 应 用 安全 服务 的 信任 基础 ,AAs 是 
应 用 安全 服务 的 具体 实现 ,CA 十 AAs 应 用 是 对 PKI 的 
全 面 理解 ( 详 见 表 16-1)。CA、AAs 和 应 用 的 关系 如 
图 16-1 所 示 , 即 CA 是 核心 和 基础 ,AAs 是 桥梁 和 纽带 ， 
应 用 是 目标 。 


图 16-1 CA、AAs 和 应 用 的 关系 
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表 16-1 证 书 认 证 中 心 (CA) 十 应 用 安全 中 心 (AAs) 

安全 机 制 
名 称 内 容 
证 书 认证 中 心 
(Certificate Authority) 
身份 认证 中心 (Authentication 
Authority)、 授权 中 心 (Authorization 
应 用 安全 中 心 Authority )、 审 计 中心 ( Audit 
(AAS) Authority)、 管理 中 心 (Administration 


Authority) 等 面向 应 用 的 其 他 安全 机 制 
中 心 


安全 构架 安全 功能 


证 书 的 签发 和 管理 | 证 书 认 证 中 心 (CA) 


CA 十 AAs 
证 书 的 使 用 


164 ”应 用 安全 的 服务 模式 


应 用 安全 中 心 为 应 用 系统 提供 安全 服务 ,其 服务 模式 有 两 种 : 
。 纵向 安全 服务 模式 ; 
。 横向 安全 服务 模式 。 


1641 纵向 安全 服务 模式 


纵向 安全 服务 模式 ( 见 图 16-2) 的 特点 是 ,安全 系统 介 于 应 用 系统 与 操作 系统 之 间 ， 
即 纵 向 切 人 ,以 API 程序 接口 的 形式 提供 安全 功能 ,应 用 


系统 使 用 API 调用 安全 系统 提供 的 安全 模块 ,来 实现 其 安 | eis 
全 目标 。 因 此 ,应 用 系统 为 引入 安全 特性 ,不 可 避免 地 要 进 安全 系统 
行 二 次 编程 开发 。 2 pp 

纵向 安全 服务 模式 采用 的 系统 结构 如 图 16-3 所 示 。 一 


各 应 用 系统 的 服务 器 和 客户 端 均 在 程序 级 与 安全 系统 结 ”图 16-2 纵向 安全 服务 模式 
合 , 即 应 用 程序 通过 API 调用 安全 模块 。 
纵向 安全 服务 模式 是 一 种 分 散 的 实现 方式 ,容易 导致 重复 和 低 水 平 的 开发 。 也 是 一 
种 被 动 的 结合 方式 ,安全 系统 提供 的 安全 功能 模块 要 靠 应 用 系统 去 修改 程序 进行 调用 才 
能 发 挥 作用 。 
综合 上 述 分 析 ,纵向 安全 服务 模式 存在 的 问题 归纳 如 下 : 
。 实现 的 可 控 性 问题 。 一 般 应 用 开发 方 不 是 专业 安全 厂商 ,缺乏 足够 的 安全 知识 和 
技能 ,加 之 安全 问题 的 复杂 性 ,虽然 有 现成 的 安全 功能 模块 ,但 也 不 能 完全 保证 它 
们 使 用 好 这 些 安全 功能 模块 ,真正 达到 保护 应 用 信息 的 目的 。 一 旦 应 用 系统 中 某 
个 应 用 出 现 安全 漏洞 ,那么 整个 应 用 系统 的 安全 水 准 会 降 到 这 个 最 低 点 ,这 就 是 
所 谓 的 安全 体系 的 “ 木 桶 ”效应 。 
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应 用 程序 [ml a 应 用 程序 
API | 安全 模 甘 安全 模 基 
操作 系统 = 六 操作 系统 

应 用 客户 端 1 
应 用 程序 厦 | 应 用 程序 
API | 安全 模块 EE 安全 模 岂 
操作 系统 操作 系统 

应 用 客户 端 2 
应 用 程序 应 用 程序 
Apl | 安全 模块 安全 模块 
操作 系统 操作 系统 


应 用 客户 端 n 应 用 服务 器 mm 
图 16-3 纵向 安全 服务 模式 的 系统 结构 


API 


API 


。 系统 的 可 维护 性 问题 。 新 的 安全 威胁 不 断 出 现 ,安全 系统 需要 相应 地 不 断 升 级 。 
因此 ,安全 系统 是 动态 的 ,不 是 一 成 不 变 的 。 由 此 导致 的 安全 功能 模块 或 其 API 
的 变更 ,会 引起 应 用 系统 与 安全 相关 各 部 分 的 重新 安装 、 重 新 编译 ,甚至 重新 编 
写 , 给 应 用 系统 安全 性 的 维护 造成 极 大 的 困难 ,甚至 混乱 。 在 这 种 情况 下 ,就 更 难 


避免 安全 漏洞 的 出 现 。 
1642 横向 安全 服务 模式 


横向 安全 服务 模式 ( 见 图 16-4) 的 特点 是 ,安全 系统 介 于 应 用 客户 端 和 应 用 服务 器 之 
间 , 即 横向 切入 ,以 安全 过 滤器 的 形式 为 应 用 系统 提供 安全 服务 ,无 API 程序 级 接口 ,也 
就 无 需 应 用 系统 为 此 进行 再 次 编程 开发 ,只 需 对 安全 过 滤器 按照 应 用 的 安全 策略 进行 安 


装 和 配置 即 可 。 


应 用 客户 端 |- | 安全 系统 |- | 应 用 服务 器 
图 164 横向 安全 服务 模式 


横向 安全 服务 模式 采用 的 系统 结构 如 图 16-5 所 示 。 与 纵向 安全 服务 模式 不 同 ,各 应 
用 系统 不 在 程序 级 与 安全 系统 结合 ,因此 应 用 系统 的 服务 器 程序 和 客户 端 程序 均 不 需要 
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1 

必 生 人 到 应 用 程序 | 1 
“是 . | 
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应 用 客户 端 1 | 
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1 

应 用 程序 应 用 程序 | ， 
操作 系统 操作 系统 | 1 
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1 1 

1 1 
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| 操作 系统 | | 
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1 应 用 服务 器 六 | 
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图 16-5 横向 安全 服务 模式 的 系统 结构 


横向 安全 服务 模式 是 一 种 集中 的 实现 方式 ,可 避免 重复 和 低 水 平 的 开发 。 也 是 一 种 
主动 的 结合 方式 ,只 需 配 置 安全 系统 ,不 需 修改 应 用 系统 程序 , 便 能 提供 安全 服务 。 
横向 安全 服务 模式 的 基本 工作 原理 为 : 通过 客户 端 配 置 或 客户 端 安 全 代理 ,应 用 客 
户 端的 请 求 不 是 直接 送 往 应 用 服务 器 ,而 是 送 到 安全 过 滤器 ,经 过 安全 过 滤器 依据 事先 设 
置 的 安全 控制 策略 进行 过 滤 并 通过 之 后 ,才能 送 往 应 用 服务 器 ,和 否则 拒绝 应 用 请 求 。 
横向 安全 服务 模式 中 的 安全 过 滤器 提供 如 下 功能 和 服务 : 
。 安全 通道 。 应 用 客户 端 与 安全 过 滤器 之 间 的 通道 是 经 过 双方 的 加 密 通 道 , 保 证 它 
们 之 间 通 信 的 安全 性 。 
。， 安全 域 。 为 需要 保护 的 资源 (应 用 服务 器 及 其 上 的 信息 资源 提供 安全 空间 ,可 通 
过 系统 和 网 络 的 配置 将 被 保护 的 资源 纳入 安全 空间 。 在 进行 系统 和 网 络 配置 时 ， 
必须 保证 应 用 客户 端的 请 求 只 能 经 过 安全 过 滤器 才能 进入 安全 域 , 在 物理 网 络 上 
不 能 有 旁 路 或 后 门 。 
。 集中 管理 。 可 将 用 户 ,资源 以 及 用 户 对 资源 的 访问 权限 在 逻辑 上 统一 管理 ,实施 
统一 的 安全 策略 。 
。 分布 控制 。 可 将 安全 功能 的 实现 机 制 分 散 部 署 ,实施 分 布 式 的 安全 控制 ,提高 安 
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全 系统 的 可 用 性 和 可 靠 性 ,防止 性 能 瓶颈 和 单 点 失效 。 

横向 安全 服务 模式 的 优越 性 体现 在 如 下 方面 : 

。 获得 高 性 能 价格 比 。 横 向 安全 服务 模式 提供 的 全 套 和 高 质量 的 安全 功能 , 既 可 以 
免 去 应 用 开发 方 重复 开发 各 自 的 安全 功能 ,又 可 以 得 到 高 水 平 的 和 不 断 升 级 的 安 
全 功能 。 高 水 平 的 安全 功能 的 开发 难度 通常 高 于 应 用 功能 本 身 。 根 据 统 计 , 高 安 
全 需求 的 应 用 系统 如 果 自 行 开发 安全 功能 ,其 开发 量 平均 占 总 开发 量 的 二 分 之 一 
以 上 。 使 用 横向 安全 服务 模式 将 极 大 地 简化 有 安全 需求 的 应 用 系统 的 开发 ,提高 
开发 效率 ,降低 开发 和 维护 成 本 ,同时 保证 安全 功能 的 高 质量 。 

。 实施 统一 安全 策略 。 横 向 安全 服务 模式 提供 的 集中 管理 和 分 布控 制 功能 ,可 以 实 
施 统一 的 安全 策略 ,避免 安全 孤岛 和 安全 弱点 的 出 现 ,从 而 保证 系统 整体 的 安全 
水 准 。 安 全 孤岛 出 现 是 因为 应 用 系统 自行 开发 独自 的 、 非 标准 的 安全 功能 ,不 能 
与 其 他 应 用 系统 进行 互 操 作 , 导 致 应 用 系统 之 间 的 交互 安全 没有 保证 ,因此 全 局 
的 安全 也 无 法 保证 。 安 全 弱点 出 现 是 因为 应 用 系统 自行 开发 的 安全 功能 很 难 达 
到 高 水 准 的 安全 级 别 , 容 易 产 生 安 全 的 薄弱 环节 。 按 照 * 木 桶 ”效应 ( 木 桶 中 的 水 
准 与 最 低 木 板 的 高 度 相 等 ) ,系统 整体 的 安全 水 准 等 于 最 薄弱 环节 的 安全 水 准 。 
采取 集中 管理 和 实施 统一 安全 策略 是 解决 安全 孤岛 和 安全 弱点 的 有 效 途 径 。 

。 可 持续 发 展 。 横 向 安全 服务 模式 的 安全 系统 独立 于 应 用 系统 ,便于 应 对 新 的 安全 
需求 ,开发 新 的 或 增强 的 安全 功能 ,从 而 保证 安全 体系 的 可 持续 发 展 。 安 全 系统 
升级 换代 后 ,运行 其 上 的 应 用 系统 的 安全 功能 也 随 之 自动 升级 换代 。 

总 之 ,在 实现 方式 结合 方式 和 安全 保证 等 各 方面 ,横向 安全 服务 模式 明显 优 于 纵向 

安全 服务 模式 。 


165 ”网 络 应 用 安全 平台 


WebST 是 一 款 实现 应 用 安全 中 心 (AAs) 的 典型 产品 。 以 下 从 WebST 的 服务 模式 、 
系统 结构 ,工作 流程 、 系 统 部 署 , 安 全 管理 方面 进行 较 全 面 介绍 。 


1651 WebST 的 服务 模式 


WebST 采用 横向 安全 服务 模式 (图 16-6) ,克服 了 纵向 安全 服务 模式 的 棘 端 。 有 关 横 
向 安全 服务 模式 的 概念 ,特点 和 优势 已 在 前 面 论述 了 ,这 里 不 再 重复 。 

WebST 安全 服务 器 系统 作为 安全 过 滤器 ,包括 安全 认证 服务 器 .安全 控制 服务 器 和 
安全 管理 服务 器 ,提供 面向 应 用 的 整套 安全 服务 。WebST 安全 客户 端 截获 应 用 客户 端 访 
问安 全 域 中 应 用 服务 器 上 被 保护 资源 的 请 求 .经 由 安全 通道 提交 给 WebST 安全 服务 系 
统 进行 安全 过 滤 , 即 身份 认证 和 访问 控制 ,决定 该 请 求 是 否 允 许 通过 。 如 果 通 过 了 身份 认 
证 和 访问 控制 的 审查 , 则 将 该 请 求 传递 给 安全 域 中 相应 的 应 用 服务 器 ,并 将 应 用 服务 器 的 
处 理 结果 返回 给 应 用 客户 端 ; 否 则 拒绝 该 请 求 进入 安全 域 , 并 给 应 用 客户 端 返 回 相 应 的 安 
全 错误 信息 。 
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WaST 安生 营 再 的 制 腹 | 站 过 汪 本 站 忆 癌症 


WebST 安全 客户 端 

应 用 程序 车 应 用 程序 

操作 系统 全 操作 系统 
应 用 客户 端 1 应 用 服务 器 1 


应 用 程序 中 | 应 用 程序 
操作 系统 | | 操作 系统 
应 用 客户 端 2 
WebST 安全 客户 端 


应 用 客户 端 n 


图 16-6 WebST 的 横向 安全 服务 模式 


1652 WebST 的 系统 结构 


WebST 的 系统 结构 如 图 16-7 所 示 。 该 系统 由 安全 认证 服务 器 、 安 全 控制 服务 器 、 安 全 
管理 服务 器 ,安全 管理 控制 台 和 安全 客户 端 ,以 及 用 户 注册 数据 库 和 授权 策略 数据 库 组 成 。 

WebST 各 组 件 的 功能 和 关系 如 下 : 

。 安全 认证 服务 器 凭借 用 户 的 身份 信息 (用 户 名 /口令 或 数字 证 书 ) 和 安全 服务 器 的 
身份 信息 (注册 信息 或 数字 证 书 ) ,查询 用 户 注册 数据 库 , 完 成 双向 身份 认证 ,并 为 
通过 认证 的 用 户 发 放 一 个 用 户 赁 证 ; 
安全 控制 服务 器 依据 用 户 凭 证 ,查询 授权 策略 数据 库 , 获 得 用 户 对 所 需 资 源 的 访 
问 权 限 ,进而 决定 是 否 允 许 用 户 访问 所 需 资源 ; 

。 安全 管理 服务 器 和 安全 管理 控制 台 为 管理 员 提供 注册 新 来 用 户 .配置 新 增资 源 和 
设置 访问 权限 的 服务 和 操作 界面 ; 

。 安全 客户 端 截获 用 户 请 求 ,与 安全 控制 服务 器 建立 安全 通道 ,将 用 户 信 息 和 用 户 
请 求 通过 安全 通道 传 给 相应 的 安全 控制 服务 器 ; 
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WebST 安全 管理 控制 台 
一 安全 域 
ebST 安 信 客 请 红 WebsT 安全 服务 器 系统 
ra | 上 一 安全 管理 服务 器 Ni 
操作 系统 | 二 安全 通道 |[ 操作 系统 
mi J J 复制 权限 和. 
应 用 客户 端 1 和 资源 应 用 服务 器 1 
安全 安 户 | 授权 策略 || 授权 策略 
和 生生 全 主 数 据 库 儿 从 数据 库 
sis | 国 和 _ 用 户 信息 
操作 系统 -关于 操作 系统 
杰 
应 用 客户 端 2 安全 认证 服务 器 应 用 服务 器 2 
: 认证 请 求 什 用户 赁 证 
WebST 安 全 客户 端 
二 访问 请 求 应 用 程序 
国 | | | 数字 证 书 ， 资源 访问 -一 
操作 系统 安全 通道 | |_ “| 安全 控制 服务 器 操作 系统 
访问 结果 访问 结果 
应 用 客户 端 n 应 用 服务 器 加 
安全 服务 器 。 安全 服务 器 安全 服务 器 


图 16-7 WebST 的 系统 结构 


。 用户 注册 数据 库存 储 注册 用 户 的 各 种 属性 信息 和 被 保护 资源 的 位 置信 息 ; 
。 授权 策略 数据 库存 储 用 户 对 资源 的 访问 权限 信息 。 
WebST 具有 逮 辑 上 的 集中 管理 和 物理 上 的 分 布控 制 特性 。 可 以 有 多 个 安全 控制 服 
务 器 和 复制 的 授权 策略 从 数据 库 在 网 络 中 分 散 到 需要 的 地 方 , 即 可 提高 性 能 ,也 可 增加 容 


错 性 。 


WebST 中 的 各 安全 服务 器 之 间 以 及 与 应 用 客户 端的 通信 都 是 经 过 加 密 的 安全 通道 。 
1653 WebST 的 工作 流程 


1 系统 配置 


系统 管理 员 利 用 安全 管理 控制 台 ,通过 安全 管理 服务 器 在 用 户 注 册 数 据 库 中 建立 用 
户 账号 和 资源 目录 ,并 根据 应 用 的 安全 管理 策略 设置 注册 用 户 对 被 保护 资源 的 访问 权限 。 


2 身份 认证 


当 用 户 通 过 应 用 客户 端 访问 应 用 系统 ,输入 访问 请 求 时 ,安装 在 应 用 客户 端 上 的 安全 
客户 端 软件 捕获 该 请 求 ,然后 与 安全 控制 服务 器 和 安全 认证 服务 器 建立 安全 通道 ,利用 安 
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全 通道 完成 身份 认证 的 过 程 。 首 先 要 求 用 户 提供 必要 的 用 户 身份 信息 (如 用 户 注册 名 / 口 
令 或 数字 证 书 ) ,然后 采用 Kerberos v5( 对 称 密 钥 技 术 ) 或 PKI( 非 对 称 密 钥 技术 ) 身 份 认 
证 机 制 完 成 认证 ,并 给 通过 认证 的 用 户 返回 一 个 用 户 凭 证。 该 认证 过 程 既 支持 用 户 对 服 
务 器 的 身份 认证 ,也 支持 服务 器 对 用 户 的 身份 认证 , 即 支持 双向 身份 认证 。 


3 访问 控制 

身份 认证 通过 后 ,安全 控制 服务 器 得 到 来 自 安 全 认证 服务 器 的 用 户 凭证 和 来 自 安 全 
客户 端的 访问 请 求 。 安 全 控制 服务 器 查看 授权 策略 数据 库 ,决定 用 户 是 否 具有 对 所 请 求 
资源 的 访问 权限 。 如 果 有 , 则 把 该 访问 请 求 提交 给 后 面 安 全 域 中 的 应 用 服务 器 ,得 到 访问 
结果 后 ,再 通过 安全 通道 返回 给 应 用 客户 端 。 


4 安全 审计 
上 述 系 统管 理 员 和 用 户 的 操作 全 过 程 均 以 日 志文 件 的 形式 记录 在 案 。 


1654 WebST 的 系统 部 署 


WebST 可 以 在 物理 上 分 散 和 复制 部 署 ,以 适应 不 同 规模 的 应 用 环境 ,同时 , 既 可 加 强 
可 靠 性 ,也 可 提高 可 用 性 。 

图 16-8 给 出 了 安全 控制 服务 器 和 授权 策略 数据 库 的 分 散 和 复制 部 署 。 多 个 安全 控 
制服 务 器 分 散 部 署 在 不 同 的 地 方 ,保护 当地 的 应 用 服务 器 。 所 有 远离 授权 策略 主 数据 库 
的 安全 控制 服务 器 都 带 有 由 授权 策略 主 数据 库 复制 而 来 的 授权 策略 从 数据 库 。 因 此 , 安 
全 控制 服务 器 在 进行 访问 控制 时 ,只 需要 查询 本 地 的 授权 策略 数据 库 即 可 。 

安全 客户 端 根据 用 户 请 求 访问 的 资源 地 址 (如 URL) ,判断 所 要 访问 资源 所 在 的 应 用 
服务 器 ,将 用 户 的 访问 请 求 提交 给 保护 该 应 用 服务 器 的 安全 控制 服务 器 。 

安全 认证 服务 器 也 可 以 进行 与 安全 控制 服务 器 类 似 的 分 布 式 部 署 。 


1655 WebST 的 安全 管理 


WebST 提供 统一 管理 界面 统一 用 户 注册 统一 资源 目录 、 统 一 授权 策略 ,用 户 分 组 
管理 ,用 户 分 级 管理 和 系统 设置 等 安全 管理 功能 。 


1 统一 管理 界面 
WebST 集 用 户 管理 ,资源 管理 和 安全 策略 管理 于 一 体 , 为 管理 者 提供 统一 的 操作 界 
面 ( 见 图 16-9) 。 


2 统一 用 户 注册 
WebST 允许 建立 一 个 统一 的 组 织 机 构 树 ,在 组 织 机 构 树 的 背景 下 创建 和 维护 用 户 
( 见 图 16-10) 。 用 户 分 为 管理 员 和 普通 用 户 两 种 ( 见 图 16-11)。 


3 统一 资源 目录 
WebST 通过 其 独 有 的 灵巧 连接 技术 提供 一 个 统一 的 名 字 空 间 ,也 就 是 安全 域 的 资源 
名 字 空 间 。 在 WebST 安全 管理 服务 器 上 ,可 以 通过 配置 .将 需要 保护 的 资源 ,在 这 一 名 
字 空 间 中 集中 命名 ( 见 图 16-12)。 
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安全 域 
WebST 安全 管理 控制 台 WebST 安全 服务 器 系统 ( 主 ) 
WebST 安全 客户 端 | 安全 管理 服务 器 
应 用 程序 注册 用 户 。 ”设置 权限 。 俐 制 权限 应 用 程序 
操作 系统 安全 通道 | | 和 资源 操作 系统 
应 用 客户 端 1 用 户 注册 
数据 库 
安全 客户 喘 ts 
WebST 安全 客 
- ES 获得 权限 
| | 安全 认证 服务 器 局 用 程序 
操作 系统 安全 通道 认证 请 求 操作 系统 
下 | 访问 请 求 
应 用 客户 端 2 数字 证 书 应 用 服务 器 2 
访问 结果 访问 结果 
安全 服务 器 
WebST 安全 服务 器 系统 (从 ) 
CC 0 
ET 
WebST 安全 客户 端 授权 第 咯 
应 用 程序 从 数据 库 应 用 程序 
操作 系统 安全 通道 | | 访问 请 求 获得 权限 操作 系统 
数字 证 书 
Ce 安全 控制 服务 器 
应 用 客户 端 n Ee 三 训 | 应 用 服务 器 
16-8 WebST 的 分 散 部 署 
4 统一 授权 策略 


WebST 的 用 户 和 资源 的 集中 管理 ,为 实施 统一 访问 授权 提供 了 可 能 。WebST 设置 访 
问 权限 的 方法 为 ,首先 创建 基于 角色 的 授权 策略 模板 ( 见 图 16-13), 然 后 将 授权 策略 模板 应 
用 到 资源 目录 树 上 的 结 点 , 即 加 锁 的 位 置 ( 见 图 16-14)。 授 权 策略 模板 可 以 共享 和 修改 。 
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| 
299321 日 一 入 局 才 S03 一 一 二 当当 一 一 一 | 
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显示 管 
理 控制 台 图 标 、 
a 
录 | 
,| 前 主要 功能 的 i 
分 页 控制 主 面板 快 建 图 村 如 用 户 标识 


图 16-9 WebST 管理 控制 台 


图 16-10 WebST 的 用 户 管理 
| RPiR | APsm | RPR | tm# | aa | 


< 总 局 用 户 02 他 剖 百 用 户 


16-11 WebST 的 用 户 类 型 
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晶 国 Web 安 全 控制 服务 器 
@ 回 tastl44 吕 


图 16-15 WebST 的 用 户 分 组 管理 


5 用 户 分 组 管理 

针对 用 户 访问 资源 ,WebST 提供 分 组 管理 , 即 允 许 将 具有 相同 访问 权限 或 扮演 同样 
角色 的 用 户 分 在 同一 组 内 ( 见 图 16-15)。 因 此 ,通过 对 组 进行 权限 设置 ,就 达到 了 对 组 内 
所 有 用 户 的 权限 设置 。 


mm 327 mm 
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6 用 户 分 级 管理 
针对 管理 员 管 理 用 户 , WebST 提供 分 级 管理 , 即 上 级 管理 员 将 其 管辖 的 部 分 用 户 全 
权 委托 给 下 级 管理 员 代理 管理 。 其 效果 是 ,上 级 管理 员 可 以 看 到 下 级 管理 员 管 理 的 用 户 


信息 ,但 无 权 进行 增 、 删 \ 改 操作 ;而 下 级 管理 员 只 能 访问 到 其 管辖 范围 的 用 户 , 无 法 看 到 
其 上 级 管理 员 的 用 户 信 息 ( 见 图 16-16)。 


现 WebsT 管 理 控制 台 ( 当 首 管理 员 zjgly01) 


营 录 人 ) 节 呈 汪 呈 让 用 户 管理 (U) 地 护 全 富 |5) 敌 助 册 


| 加 而 画 名 | 国名 久 同名 | 从 全 欠 | 吕 加 时 苞 呈 
[PS [ERs 

四 总 局 

合 国 直属 事业 单位 
合 国 直属 分 局 

全 国 派 脏 机 构 

全 国 局 机 关 处 室 


用 户 名 称 
也 zovo1 总 局 管理 员 01 


ETERETI3 


登录 () 下 用 性 豆 站 ”用 有 尸 管理 U) 和 帮助 (H) 
马 幅 国 尖 名 多 他国 名人 OA 二 多 区 国志 全 
[RP [| 


图 16-16 WebST 的 用 户 分 级 管理 


16.6 本 章 小 结 


应 用 安全 是 指 信息 在 应 用 过 程 中 的 安全 ,也 就 是 信息 的 使 用 安全 。 应 用 安全 的 目的 
是 要 保证 信息 用 户 的 真实 性 ,信息 数据 的 机 密 性 、 完 整 性 .可 用 性 ,以 及 信息 用 户 和 信息 数 
据 的 可 和 审 性 ,以 对 抗 身份 假冒 、 信 息 窃取 数据 自 改 、 越 权 访问 和 事后 否认 等 针对 信息 应 用 
的 安全 威胁 。 

安全 系统 与 应 用 系统 的 结合 是 实现 应 用 安全 的 必要 过 程 ,这 一 过 程 是 存在 风险 的 。 
两 者 结合 的 效果 直接 影响 着 最 终 的 系统 安全 水 准 , 有 必要 采取 有 效 的 方法 和 措施 保证 两 
者 的 低 风 险 结 合 。 

应 用 安全 服务 是 建立 在 能 够 提供 信任 服务 的 基础 设施 之 上 的 。 公 钥 基 础 设施 PKI 
作为 国际 上 公认 和 普遍 采用 的 信息 安全 保障 体系 的 基础 设施 ,提供 信任 和 安全 服务 。 对 
PKI 的 全 面 理解 应 是 证 书 认证 中 心 (CA) 十 应 用 安全 中 心 (AAs)。 即 CA 是 核心 和 基础 ， 
AAs 是 桥梁 和 纽带 ,应 用 是 目标 。 

应 用 安全 中 心 为 应 用 系统 提供 安全 服务 ,其 服务 模式 有 两 种 : 纵向 安全 服务 模式 和 
横向 安全 服务 模式 。 在 实现 方式 、 结 合 方式 和 安全 保证 等 各 方面 ,横向 安全 服务 模式 明显 
优 于 纵向 安全 服务 模式 。 


网 络 应 用 安全 平台 WebST 是 一 款 实现 应 用 安全 中 心 的 典型 产品 ,具有 优越 的 横向 
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安全 服务 模式 、 统 一 的 资源 命名 、 分 布 式 的 系统 部 署 .整套 安全 功能 的 有 机 结合 多样 的 身 
份 认证 机 制 .安全 的 分 级 管理 等 特色 ,并 在 多 年 的 实际 应 用 中 得 到 了 实践 的 验证 ,证 明 是 
一 款 有 效 的 应 用 安全 解决 方案 。 


习 题 


. 阐述 应 用 安全 的 概念 和 内 容 。 
.应 用 安全 需求 包括 哪 两 方面 ? 
. 阐述 应 用 安全 的 体系 构架 以 及 CA、AAs 和 应 用 的 关系 。 
. 阐述 横向 安全 服务 模式 和 纵向 安全 服务 模式 的 区 别 和 利弊 。 
.网 络 应 用 安全 平台 WebST 是 ( ) 的 实现 。 
A. CA B. AAs C. 应 用 


5 
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本 章 要 点 : 

。 安全 需求 的 范围 和 目标 ; 

。 安全 威胁 的 数据 分 析 ; 

。 管 理 安全 的 关键 ,范围 和 需求 以 及 安全 模型 的 核心 组 成 ; 

。 运行 安全 的 范围 和 需求 ; 

。 技术 安全 的 范围 和 需求 ; 

。 基于 信息 等 级 分 类 策略 的 基本 安全 属性 需求 ; 

。 基于 信息 等 级 分 类 策略 的 用 户 标识 与 鉴别 需求 ; 

。 基于 信息 等 级 分 类 策略 的 不 可 否认 需求 ; 

。 基于 信息 等 级 分 类 策略 的 授权 与 访问 控制 需求 ; 

。 网 络 基础 设施 安全 需求 。 

网 络 安全 需求 是 根据 安全 策略 导出 的 ,在 第 3 章 已 经 阐明 了 各 种 网 络 安全 策略 。 合 
适 的 安全 需求 可 以 较 小 的 代价 控制 风险 ,包括 管理 .运行 ,技术 控制 3 方面 的 需求 ,以 满足 
信息 资产 的 机 密 性 、 完 整 性 、 可 用 性 和 可 审 性 。 本 章 将 定义 基于 互相 联系 的 管理 ,运行 、 技 
术 控制 的 网 络 信息 安全 需求 。 

可 以 将 需求 定义 成 一 个 系统 必须 遵守 的 条 件 或 能 力 。 这 里 指 的 系统 包括 商业 经 营 、 
事务 处 理 、 操 作 系 统 、 应 用 程序 、 数 据 库 平台 、 网 络 组 件 和 系统 有 关 的 经 营 单元 与 责任 以 及 
涉及 个 人 的 处 理 过 程 等 。 

网 络 安全 的 主要 目的 是 保护 一 个 组 织 的 信息 资产 的 机 密 性 、 完 整 性 .可 用 性 。 确 定 和 
管理 网 络 信息 安全 需求 对 一 个 组 织 减 少 风险 是 至 关 重 要 的 。 这 里 讲述 的 是 网 络 安全 的 基 
本 需求 ,并 以 大 企业 网 络 安全 需求 为 例 ,由 于 各 个 组 织 的 情况 很 不 一 样 ,因此 在 实际 工作 
中 ,各 个 组 织 还 应 确定 反映 本 组 织 实 际 情况 的 网 络 安全 需求 。 在 以 下 的 阐述 中 用 了 “ 必 
须 ” 和 “应 该 ”两 个 不 同 的 词 , 前 者 表示 必须 遵循 的 、 对 安全 要 求 高 的 系统 则 是 强制 性 的 ,后 
者 表示 对 一 般 系统 希望 能 达到 。 

在 定义 网 络 安全 需求 之 前 ,首先 曾 述 对 安全 的 各 种 威胁 ,这 是 基于 第 2 章 风险 分 析 基 
础 上 的 一 些 数据 分 析 。 


_ 717.1 安全 威胁 


当今 的 企业 经 营 环 境 , 愈 来 愈 多 地 使 用 Internet 和 分 布 计算 ,为 客户 提供 各 种 服务 以 
及 帮助 员工 提高 工作 效率 。 随 着 更 多 的 信息 共享 、Internet 的 广泛 使 用 、 电 子 商 务 基础 设 
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施 的 部 署 ,企业 面临 的 漏洞 和 威胁 也 愈益 增加 ,如 内 联网 (Intranet)、 外 联网 (Extranet)、 
供应 链 网 的 漏洞 和 威胁 。 

这 些 威胁 有 可 能 损害 企业 的 人 力 资源 和 网 络 资源 。 威 胁 可 能 来 自 外 部 黑客 非 授权 使 
用 系统 的 漏洞 ,也 可 能 来 自 内 部 员工 做 一 些 非 业 务 的 活动 。 其 结果 是 内 部 信息 的 泄露 . 客 
户 记录 和 秘密 的 经 营 信息 数据 的 破坏 .产品 的 损伤 等 。 

根据 美国 计算 机 安全 研究 所 (CSI) 和 联邦 调查 局 (FBI) 所 做 的 “2000 年 计算 机 犯罪 和 
安全 调查 ”, 有 90% 的 被 调查 对 象 (273 个 组 织 ) 在 2000 年 受到 攻击 ,经 济 损失 为 
265 589 940 美元 , 比 1997、1998、1999 前 3 年 的 统计 要 高 很 多 ,前 三 年 的 年 平均 经 济 损失 
为 120 240 170 美元 。 根 据 分 析 , 大 部 分 严重 的 经 济 损失 是 由 于 内 部 信息 的 偷窃 , 如 
图 17-1 所 示 。 


5 000 000 美 元 
991 200 美 元 
7 104 000 美元 


27 148 000 美 元 
8 247 500 美 元 
则 27 984 740 美元 
10 404 300 美 元 
毒 29 171 700 美 元 
金融 欺骗 55 996 000 美 元 
远程 通信 和 欺骗 4028 000 美 元 
偷窃 私有 信息 66 708 000 美 元 
We 22 554 500 美元 
让 问 


图 17-1 攻击 和 滥用 造成 的 经 济 损失 
数据 来 源 : 美国 CSI/FBI 2000 年 计算 机 犯罪 和 安全 调查 


由 威胁 引起 的 损失 可 分 成 直接 损失 和 间接 损失 两 类 。 直 接 损 失 是 指 一 个 系统 或 其 相 
关 的 组 件 受 损 ;间接 损失 是 指 由 于 直接 损失 引起 的 后 果 。 这 些 后 果 包 括 丢失 客户 、 丢 失 供 
应 者 、 丢 失 公 共 的 信誉 、 丢 失 竞争 的 优点 和 信息 、 丢 失 有 形 资 产 和 减少 现金 流 等 。 间 接 损 
失 通 常 占 总 损失 的 大 部 分 ,可 达 90%% 一 95% ,成 为 安全 重点 保护 的 方面 。 

在 不 断 变化 的 数字 经 济 时 代 ,威胁 来 自 各 种 各 样 的 源 , 也 可 分 成 各 种 类 型 。 这 里 将 威 
胁 分 成 两 大 类 , 即 外 部 威胁 和 内 部 威胁 。 


和 1.1 外 部 安全 威胁 


常见 的 外 部 安全 威胁 是 黑客 破坏 企业 的 Web 站 点 ,涂改 Web 页 面 ,而 且 这 种 破坏 的 
趋势 日 益 增 多 ,图 17-2 是 某 公司 在 1999 一 2000 年 遭受 的 Web 损毁 和 涂改 的 次 数 。 
随 着 Internet 的 广泛 使 用 ,并 成 为 企业 日 常 运行 不 可 缺少 的 工具 和 环境 ,传统 的 物理 
世界 的 偷窃 和 诈骗 迁移 到 网 络 世界 。 除 了 涂改 Web 页 面 外 ,通过 Internet 发 出 的 攻击 还 
有 伪装 成 其 他 用 户 、 分 组 回答 .拒绝 服务 .字典 攻击 .系统 标识 假冒 .通信 窃听 、 特 洛 伊 木 
马 、 病 毒 和 蠕虫 等 。 
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图 17-2 某 公司 Web 损毁 和 涂改 的 次 数 


数据 来 源 : http://www. attrition. org/mirror/attrition/annuals. html 


分 组 回答 是 记录 和 重 传 网 中 的 分 组 ,对 需要 身份 鉴别 序列 的 程序 是 一 个 严重 的 威胁 ， 
因为 人 侵 者 可 回答 合法 的 身份 鉴别 序列 报 文 ,以 获得 系统 的 访问 。 

拒绝 服务 是 一 种 损害 所 有 可 用 系统 资源 的 攻击 ,使 系统 对 任何 用 户 不 可 用 ,结果 是 降 
低 或 丢失 服务 。 例 如 有 一 种 攻击 程序 (Jolt/SSPING) 可 冻结 任何 Windows 客户 端 或 
Windows NT 的 连接 , 它 对 被 攻击 的 目标 发 送 一 系列 欺骗 的 、 碎 片 的 ICMP 分 组 。 

特洛伊 木马 是 一 种 假装 有 用 的 程序 ,而 实际 上 执行 非 授 权 的 有 害 功能 。 例 如 有 一 种 
特洛伊 木马 程序 (SIMPSONS. EXE) 看 起 来 好 像 是 在 计算 机 上 安装 的 一 个 程序 ,实际 上 
是 通过 抽取 将 选择 的 驱动 器 上 的 文件 删除 。 

病毒 通常 设计 成 能 在 用 户 计算 机 上 复制 自己 的 程序 ,无 须 用 户 计 算 机 的 任何 知识 。 
蠕虫 是 病毒 的 一 种 , 它 能 在 网 上 运行 ,将 自己 复制 ,并 感染 同一 网 上 的 所 有 计算 机 。 
Yankee Doodle 是 一 种 覆盖 写 和 人 常 驻 内 存 的 文件 感染 病毒 。LOVE-LETTER-FOR- 
YOU. TXT. vbs 是 蠕虫 的 一 个 例子 , 它 使 用 Visual Basic 脚本 程序 的 内 置 功能 ,将 自己 写 
入 本 地 系统 ,并 通过 Outlook 报 文 将 自己 传播 出 去 ,可 进入 电子 邮件 报 文 。 

所 有 这 些 攻击 都 有 一 个 共同 点 , 它 直接 威胁 一 个 组 织 的 信息 资产 的 机 密 性 、 完 整 性 和 
可 用 性 。 有 很 多 公开 发 表 的 计算 机 犯罪 统计 报告 都 反映 了 这 些 攻 击 的 威胁 。 

当然 ,物理 的 、 环 境 的 威胁 也 应 该 在 外 部 威胁 中 子 以 考虑 。 这 些 威胁 包括 停电 、 自 然 
灾害 .人 为 破坏 .交通 事故 等 。 


1712 内 部 安全 威胁 


根据 美国 CSI/FBI 2000 计算 机 犯罪 和 安全 调查 的 统计 ,在 所 有 攻击 者 中 ,那些 不 满 
意 的 内 部 员工 占 的 比例 最 高 ,如 图 17-3 所 示 。 
内 部 攻击 有 逻辑 炸弹 .特洛伊 木马 , 非 授权 复制 机 密 数 据 . 口 令 探测 、 数 据 欺 骗 、. 非 授 
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图 17-3 攻击 源 的 统计 
数据 来 源 : 美国 CSI/FBI 2000 计算 机 犯罪 和 安全 调查 


权 软 件 修改 .陷阱 门 .窃听 、 病 毒 . 师 虫 等 。 

逮 辑 炸弹 是 最 具 破 坏 性 的 内 部 威胁 之 一 , 它 是 一 种 恶意 码 ,设计 成 在 特定 的 数据 .时 
间或 条 件 下 执行 一 系列 指令 。 数 据 欺骗 是 在 进入 计算 机 之 前 或 之 后 所 有 关于 数据 的 修 
改 。 口 令 探 测 是 一 种 程序 ,能 捕获 在 网 上 系统 使 用 的 用 户 名 和 口令 信息 ,而 那些 信息 正 是 
对 攻击 者 入 侵 感 兴趣 的 。 


和 5 ”管理 安全 需求 


网 络 安全 程序 的 成 功 和 有 效 很 大 程度 上 依赖 于 高 层 管理 的 支持 以 及 在 组 织 层次 结构 
中 安全 功能 的 配置 。 财 经 和 策略 的 支持 都 来 自 于 高 层 管理 。 为 了 有 效 , 需 要 高 层 管理 对 
信息 安全 功能 的 一 些 关 键 组 成 进行 清晰 的 定义 ,包括 管理 支持 ,在 组 织 中 的 合理 布局 、 明 
确 的 责任 和 授权 以 及 影响 改变 所 需 的 资源 。 

网 络 安全 必须 适应 各 种 条 件 的 变化 ,包括 新 技术 的 引入 、 经 营 宗旨 的 变化 .系统 中 交 
互 会 话 的 员工 、 客 户 、 厂 商 的 增加 以 及 组 织 的 成 熟 度 等 。 因 此 网 络 安全 程序 要 随 着 信息 安 
全 生命 期 (设计 布局, 管理. 评估) 做 必要 的 修改 。 

管理 安全 需求 集中 在 高 层 管理 控制 ,安全 影响 整个 组 织 的 安全 结构 设计 和 布局 。 运 
行 操作 和 技术 安全 需求 应 全 力 支 持 管理 安全 需求 。 


1721 定义 安全 模型 


1 信息 分 类 等 级 
安全 模型 的 核心 组 成 是 风险 评估 和 信息 分 类 处 理 。 经 营业 务 数 据 要 根据 企业 的 目标 
和 组 织 的 安全 需求 进行 等 级 分 类 ,如 表 17-1 所 示 。 
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表 17-1 信息 分 类 等 级 


等 级 名 称 定 义 

公共 属于 可 公共 发 布 的 信息 ,可 通过 合适 的 通道 发 布 ,如 报纸 ,杂志 、WWW、 匿 名 服务 器 

内 部 供 内 部 人 员 知 道 的 信息 ,不 属于 公共 发 布 的 信息 

机 密 企业 信息 ,如 果 泄 露 就 会 对 企业 、 客 户 、 厂 商 、 员 工 产生 有 害 影响 。 这 些 信 息 在 正常 经 
车 下 广泛 用 于 员工 ,但 仅 限 在 企业 内 部 控制 范围 ,在 未 授权 情况 下 ,不 得 向 公众 发 布 

严格 限制 如 果 这 些 企业 信息 泄露 ,就 会 引起 企业 的 财经 ,法律 法 规 或 信誉 的 危害 。 这 类 信息 是 
极为 敏感 的 信息 ,对 专门 的 ,个 别人 员 访 问 以 前 需要 得 到 批准 


2 经 营业 务 影响 的 分 析 和 风险 评估 

信息 等 级 分 类 人 处理、 经 营业 务 影响 分 析 和 风险 评估 处 理 是 相互 依赖 的 。 这 些 处 理 对 
组 织 定 义 安全 需求 起 着 十 分 重要 的 作用 。 因 此 ,在 对 一 个 大 的 企业 定义 安全 需求 时 ,首先 
应 完成 经 营业 务 影响 分 析 (Business Impact Analysis， BIA), 和 弄 明 白 业 务 功 能 丢失 或 降低 
的 影响 。 企 业 必 须 标 识 其 最 关键 的 资产 。 

经 营业 务 影响 评估 处理 有 助 于 减少 总 的 信息 安全 代价 ,同时 仍 能 保证 最 关键 的 数据 得 
到 适当 的 保护 。 如 果 要 保护 全 部 企业 数据 ,其 代价 是 很 高 的 。BIA 标识 最 关键 的 资源 以 及 
对 它们 的 威胁 。 风 险 评估 应 始 于 企业 经 营业 务 这 个 层面 。 通 过 信息 搜集 过 程 ,对 企业 的 每 
个 经 营 单元 ,在 数量 和 质量 方面 测量 业务 功能 丢失 的 影响 。 对 企业 的 每 个 经 营 单元 填 一 张 
类 似 于 表 17-2 的 表 。 表 中 行 表示 经 营 单元 的 关键 组 件 不 可 用 的 影响 ,列表 示 各 个 安全 属 
性 。 假 如 一 个 组 织 的 信息 安全 部 门 的 用 户 账 户 删除 功能 不 可 用 ,那么 该 部 门 不 能 删除 已 经 
终 断 的 特权 用 户 。 这 就 使 在 那个 系统 上 的 数据 完整 性 、 机 密 性 ,可 用 性 存在 风险 。 

表 17-2 业务 功能 丢失 的 影响 


影响 15 分 钟 后 1 小 时 后 2 小 时 后 1 天 后 3 天 后 1 周 后 
安全 属性 的 影响 的 影响 的 影响 的 影响 的 影响 的 影响 
机 密 性 
完整 性 
可 用 性 


空格 中 标 上 高 (H) .中 (MD) 、 低 (CL) ,无 CN) ,分 别 表 示 对 业务 运行 的 影响 大 、 对 业务 的 
连接 运行 有 十 分 重要 的 影响 、 对 业务 的 连续 运行 影响 不 大 ,以 及 对 业务 连续 运行 无 影响 。 

管理 安全 不 是 容易 做 到 的 ,因为 难以 决定 风险 以 及 同 信息 技术 处 理 相 关 的 代价 。 
随 着 技术 的 进步 ,信息 系统 的 变化 ,和 系统 相 联 系 的 风险 及 其 安全 需求 也 在 变化 。 因 
此 信息 安全 应 周期 地 重新 评估 ,并 回答 以 下 一 些 问 题 : 什么 是 试图 保护 的 对 象 ? 什么 
是 组 织 的 关键 资产 ? 这 些 资 产 的 重要 性 如 何 ? 对 这 些 资 产 的 威胁 是 什么 ? 这 些 威胁 
发 生 的 概率 是 多 少 ? 在 回答 上 述 问题 时 ,有 什么 假设 条 件 ? 图 17-4 表示 定义 信息 安全 
需求 的 框架 。 


1722 人 员 安 全 


人 员 安 全 也 是 网 络 安全 最 关键 的 范围 之 一 ,因为 员工 是 最 终 负责 控制 企业 敏感 信息 
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资产 威胁 | [组织 安全 策略 


MA 


安全 目标 


安全 需求 


图 17-4 定义 信息 安全 需求 


的 传播 。 对 企业 人 员 有 以 下 一 些 要 求 : 


企业 的 人 力 资源 部 必须 进行 员工 的 审查 ,包括 其 背景 情况 的 审核 ,并 由 企业 高 级 
管理 者 最 终审 定 。 

对 那些 作为 可 信和 角色 且 有 访问 企业 严格 限制 数据 授权 的 全 体 员工 ,必须 进行 更 加 
详细 的 背景 审查 ,包括 信用 检验 .犯罪 记录 搜索 以 及 使 用 非法 资产 的 测试 等 。 
企业 必须 有 合适 的 监管 机 制 以 保证 角色 和 责任 的 正确 执行 ,对 所 有 人 员 进 行 评 
估 ,是否 有 足够 的 授权 和 资源 来 执行 他 们 的 角色 和 责任 。 

企业 必须 保证 全 体 人 员 收 到 1 份 企业 信息 安全 策略 和 知识 的 文本 ,使 员工 明白 其 
责任 。 

当 员 工 注册 加 入 企业 或 离职 时 ,人 力 资 源 部 必须 立即 通知 企业 的 安全 部 门 。 企 业 
信息 安全 部 门 必须 对 其 ID 和 口令 进行 注册 或 撤销 。 在 员工 职责 变更 时 ,也 必须 
修改 或 撤销 其 访问 。 

当 访 问 严格 限制 信息 的 用 户 授 权 被 终止 时 ,员工 的 经 理应 直接 和 系统 管理 员 或 其 
他 相应 的 监管 人 员 删 除 其 用 户 访问 权 。 


1723 安全 意识 和 培训 


信息 安全 意识 是 企业 培训 课程 不 可 缺少 的 一 部 分 。 设 置 和 保持 有 效 的 安全 意识 课 
程 ,应 得 到 各 级 管理 的 支持 ,而 且 是 强制 的 。 没 有 相应 的 管理 支持 ,安全 意识 程序 不 可 能 
成 功 。 员 工 是 保证 信息 安全 程序 有 效 的 关键 ,因此 他 们 必须 明白 自己 在 安全 程序 中 的 


角色 。 


员 


工 应 接受 常规 的 安全 培训 和 提醒 ,安全 提醒 可 保证 信息 安全 策略 不 易 忘记 。 信 息 


安全 培训 程序 可 采用 不 同方 式 , 然 而 应 传递 这 样 一 个 信息 , 即 组 织 中 的 每 个 人 都 应 关心 


安全 。 


企业 安全 培训 需求 阐明 ,必须 给 企业 员工 提供 原始 的 (新 员工 ) 和 继续 不 断 的 培训 ,以 
保持 员工 的 知识 ,技巧 能力 和 安全 意识 达到 有 效 执行 所 需 的 水 平 。 
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1724 变更 管理 


应 该 有 一 个 充分 的 过 程 来 保证 对 企业 资源 的 变更 全 程 进行 正确 的 实施 和 测试 。 应 该 
提供 文本 来 保证 过 程 的 正确 进行 。 不 一 致 性 会 引起 对 企业 资源 变更 的 失控 ,引起 非 授 权 
地 访问 资源 ,并 有 可 能 让 非 授 权 人 员 改 变 安 全 配置 程序 。 人 员 的 任命 变更 必须 是 授权 的 ， 
并 且 保 持 变 更 是 可 审 的 。 企 业 变 更 管理 有 如 下 需求 : 


企业 系统 资源 (包括 硬件 和 软件 ) 和 支持 系统 必须 建立 文档 .经 过 系统 测试 ,并 在 
执行 以 前 进行 授权 。 

所 有 的 变更 请 求 和 系统 维护 必须 标准 化 ,并 遵照 正式 的 变更 管理 过 程 执行 。 
所 有 的 变更 请 求 必 须 用 结构 化 方法 来 评估 对 资源 功能 可 能 的 影响 。 

在 非 高 峰 时 间 进 行 系统 维护 以 减少 通信 的 影响 。 系 统 维护 必须 包括 "滚动 
过 程 ,以 备 升 级 和 其 他 维护 任务 失败 时 使 用 。 

紧急 处 理 问题 必须 建立 文档 ,并 由 授权 者 通过 文档 管理 过 程 来 解决 问题 。 
变更 管理 系统 必须 提供 合适 的 审计 跟踪 设施 ,以 跟踪 事故 及 其 发 生 原 因 。 


瑟 
遍 


1725 口令 选择 与 变更 需求 


口令 选择 与 变更 需求 是 有 效 安全 程序 中 最 重要 的 两 个 部 分 。 事 实 上 ,口令 是 取得 系 
统 访 问 的 最 后 防线 。 因 此 企业 网 络 信息 系统 必须 遵照 以 下 的 口令 选择 和 变更 需求 ， 


用 户口 令 必须 包含 至 少 7 个 字母 ,数字 字符 。 

系统 和 管理 账户 的 口令 必须 使 用 复合 的 口令 , 它 必须 由 8 个 字母 数字 混合 的 字符 
组 成 , 且 包 括 大 写 和 小 写 。 

用 户口 令 必须 不 含有 用 户 名 字 或 ID。 

口令 不 应 用 通信 的 方法 给 予 , 在 口令 分 配 和 改变 时 ,应 由 安全 管理 者 直接 给 用 户 。 
如 给 用 户 提供 的 是 初始 口令 (一 次 性 口令 ), 则 用 户 第 一 次 登录 系统 必须 将 口令 
在 口令 改变 生效 前 ,用 户 必须 多 次 使 用 新 的 口令 (至 少 2 次 ), 以 确认 口令 的 改变 。 
用 户口 令 重新 设置 必须 是 用 户 的 ID 已 赋予 ,有 关 的 经 营 单元 应 负责 证 明 该 用 户 
的 ID。 而 新 的 口令 必须 是 一 次 性 口令 。 

用 户 账 户 的 口令 有 效 期 最 长 必须 在 60 天 以 内 ,系统 和 管理 账户 的 口令 有 效 期 最 
长 必须 在 45 天 以 内 ,之 后 必须 生成 新 的 口令 。 选 择 同样 的 口令 在 90 天 内 不 能 超 
过 一 次 。 

明文 用 户 ID 和 口令 必须 不 包括 批 处 理 登 录 过 程 。 

用 软件 或 硬件 传递 的 默认 口令 必须 立刻 更 换 。 

不 允许 用 公用 账户 和 集体 口令 ,这 样 才 可 能 在 所 有 的 时 间 内 维护 每 个 用 户 账 户 的 
可 审 性 。 

随 着 操作 系统 、 网 络 设备 等 各 种 产品 传递 的 用 户 账 户口 令 数据 库 和 包含 口令 的 
文件 ,必须 用 适用 于 这 些 专门 产品 的 强加 密 方法 加 密 。 
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173 ”运行 安全 需求 


运行 安全 需求 致力 于 支撑 正常 经 营业 务 运行 所 需 的 控制 ,运行 安全 涉及 以 下 一 些 


* 物理 和 环境 安全 控制 的 实施 ,用 以 保护 支持 企业 运行 的 系统 资源 的 企业 设施 。 
。 应 急 和 灾难 恢复 计划 的 制定 ,用 于 关键 功能 的 连续 运行 。 
。 应 用 、 硬 件 和 系统 的 维护 控制 。 


1731 物理 与 环境 保护 
对 放置 企业 系统 资源 设施 的 保护 控制 是 必需 的 ,可 以 抵御 物理 和 环境 的 威胁 ,保持 连 


续 运 行 。 例 如 电源 ,空调 ,暖气 .水 以 及 其 他 设施 的 故障 都 可 能 影响 电子 设备 的 正常 运行 ， 
下 面 列 出 物理 和 环境 保护 的 主要 方面 : 


。 企业 的 环境 保护 手段 和 控制 设备 必须 保证 企业 数据 中 心 、 网 络 、 系 统 的 可 用 性 和 

连续 运行 。 这 些 手 段 和 设备 用 来 保护 环境 的 各 种 因素 (防火 、 防 侍 、 电 力 、 温 度 、 湿 

度 等 )。 必 须 使 用 烟 检 测 器 和 火警 系统 ,必须 安装 水 监测 器 。 

必须 有 监控 器 、 火 警 系 统 设备 测试 的 设施 管理 过 程 ,至 少 每 6 个 月 进行 一 次 测试 ， 

且 建 立 测试 结果 文档 。 

。 数据 中 心 的 人 员 必须 进行 培训 ,使 他 们 会 使 用 任何 自动 火警 系统 、 可 携带 的 灭火 
器 以 及 对 烟 和 火警 有 正确 的 响应 。 

。 有 关 人 员 健康 .安全 的 条 件 要 符合 国家 或 地 区 的 法 律 法规 。 

。 数据 中 心 必 须 使 用 不 间断 电源 UPS 和 紧急 使 用 电源 EPS, 以 防止 由 于 电源 故障 

引起 的 处 理 环境 破坏 。 应 定期 测试 和 维护 这 些 设 备 。 

任何 时 间 禁 止 将 食品 和 饮料 带 入 数据 中 心 。 必 须 备 有 专门 的 废物 存放 处 并 定期 

清除 。 必 须 将 各 种 液体 远离 设备 。 在 任何 时 间 出 口 和 通道 必须 畅通 。 


1732 物理 访问 控制 
所 有 的 企业 信息 设施 应 有 适当 的 物理 访问 控制 ,防止 非 授权 访问 信息 资产 。 本 节 和 叙 


述 对 企业 的 分 布 计算 设施 进行 物理 访问 的 保护 需求 。 这 些 设施 包括 数据 中 心 .计算 机 房 、 
网 络 控制 中 心 以 及 其 他 有 关 的 区 域 。 下 面 列 出 它们 的 物理 访问 控制 需求 : 


， 数 据 处 理 设备 的 每 个 组 件 都 必须 是 安全 的 ,包括 计算 机 、 外 围 设备 终端, 控制 器 
以 及 其 他 相关 设备 。 必 须 防 止 对 计算 机 设备 (包括 服务 器 、 路 由 器 、 交 换 机 、 通 信 
设备 等 ) 的 非 授 权 使 用 ,可 用 门 锁 或 门 卡 。 如 果 技术 允许 ,应 使 用 访问 控制 设备 对 
成 功 的 和 不 成 功 的 访问 企图 做 日 志 。 

。 对 大 的 计算 机 中 心 场地 ,在 计算 机 房 内 对 通信 设备 的 物理 访问 必须 进一步 严格 
限制 。 
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。 非 本 单位 的 人 员 需 要 访问 数据 中 心 应 有 书面 的 许可 ,这 些 访问 需 登 记 在 册 , 且 至 
少 保持 一 年 的 记录 。 

。 防护 门 的 钥匙 应 由 负责 安全 的 部 门 定期 更 换 。 

， 定 期 由 第 三 方 对 访问 控制 进行 考查 ,审计 部 门 应 委任 考查 组 来 考查 访问 控制 和 访 
客 记 录 。 

。 除了 计算 机 机 房 的 安全 ,还 必须 提供 合适 的 大 楼 安全 ,如 警卫 和 警 门 , 在 下 班 时 间 
保护 所 有 的 设施 。 提 供 报警 .闭路 电视 监视 器 ,警卫 ,标记 ,仿生 网 络 安全 等 ,以 阻 
止 对 大 楼 和 控制 区 的 非 授权 物理 访问 。 

。 所 有 网 络 设施 必须 有 访问 控制 系统 的 实时 监控 器 ,或 者 接 到 24 小 时 运行 监控 站 。 

。 所 有 安全 系统 必须 有 自 带 的 电池 后 备 ,应 工作 在 联网 环境 中 ,必要 时 应 有 独立 环 
境 。 每 个 系统 必须 有 可 检索 的 数据 存档 能 力 。 


1733 经 营业 务 连续 性 与 灾难 恢复 服务 


经 营业 务 应 急 计 划 (Business Continuity Planning，BCP) 与 灾难 恢复 计划 (Disaster 
Recovery Planning，DRP) 能 使 企业 在 发 生 重大 破坏 事件 时 保持 正常 的 经 营业 务 的 运行 。 
BCP 在 防止 可 能 的 偶然 事件 以 及 减少 由 于 这 些 偶 然 事件 引起 的 对 组 织 的 危害 方面 起 着 
重要 的 作用 , 它 能 及 早 采取 措施 以 控制 这 些 事 件 。DRP 在 灾难 发 生 后 , 标 认 恢复 所 需 的 
关键 信息 ,如 技术 应 用 程序 .操作 系统 ,人员 ` 数 据 文件 以 及 时 间 表 ,并 选择 最 后 采用 的 变 
更 方案 。BCP 和 DRP 有 下 面 一 些 要 求 : 
。 必须 制定 BCP 和 DRP, 且 要 定期 测试 ,以 保证 系统 的 完整 性 和 应 急 处 理 ,减少 由 
于 灾难 对 企业 造成 的 影响 。 

。 对 后 备 和 恢复 必须 实施 综合 策略 管理 ,以 保证 经 营业 务 的 需求 。 数 据 中 心 的 后 备 
要 建文 档 , 包 括 每 天 每 个 服务 器 的 增 量 后 备 以 及 每 周 的 完全 后 备 。 

。 灾难 恢复 框架 必须 定义 其 角色 和 责任 、 所 采用 的 方案 以 及 计划 的 结构 。 所 有 在 场 
的 和 离线 的 关键 人 员 必 须 有 当前 的 DRP 版 本 ,电子 版 本 应 离线 存储 。 

。 DRP 应 覆盖 计划 和 过 程 两 个 方面 ,包括 建立 通信 和 网 络 服务 的 过 程 。 用 来 在 灾 
难 发 生 后 ,重建 信息 技术 场地 ,重新 开始 正常 的 运行 , 且 和 保证 员工 安全 的 紧急 过 
程 相配 合 。 


17.34 系统 与 应 用 维护 


系统 与 应 用 的 维护 控制 用 来 监控 系统 和 应 用 软件 的 安装 和 升级 。 这 些 控制 应 提供 保 
证 ,使 系统 和 应 用 软件 的 选择 .实施 和 升级 不 会 引起 处 理 差 错 或 破坏 基于 软件 的 系统 控 
制 , 这 些 控制 包括 以 下 方面 

。 系统 软件 选择 ; 

。 版 本 控制 ; 

， 移 到 生产 环境 前 的 新 系统 软件 或 现 有 系统 软件 升级 的 测试 ; 

， 一 旦 升级 失败 退回 到 以 前 的 版 本 。 
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在 系统 和 应 用 的 维护 中 ,企业 应 提出 如 下 要 求 : 

。 在 没有 书面 授权 情况 下 ,用 于 特定 计算 机 或 场地 的 有 版 权 许可 证 的 产品 不 应 复制 
到 其 他 计算 机 或 场地 。 

。 只 有 授权 的 并 得 到 企业 许可 的 软件 ,硬件 和 设备 才 可 使 用 ,安装 或 引入 企业 生产 
环境 。 

。 企业 的 系统 和 应 用 软件 应 根据 厂商 推荐 的 安全 补丁 保持 更 新 。 系 统 和 应 用 软件 
的 当前 版 本 具有 处 理 和 安全 增强 功能 。 校 正 缺 陷 的 安全 补丁 由 厂商 通知 。 

。 数据 中 心 系统 软件 的 问题 记录 应 标识 问题 的 严重 程度 .委托 专门 人 员 分 析 和 解决 
的 记录 以 及 问题 的 及 时 解决 记录 等 。 


1735 敏感 材料 的 处 理 


处 理 严 格 限制 的 \ 机 密 的 内 部 材料 时 ,必须 防止 信息 不 适当 地 泄露 ,为 此 有 以 下 要 求 : 

。 要 生成 和 使 用 严格 限制 的 ,机密 的 内 部 信息 必须 安全 地 存储 、 搜 集 。 当 不 需要 时 ， 

对 严格 限制 的 .机 密 的 内 部 信息 , 当 不 需要 时 必须 先 将 其 切 成 碎片 ,然后 抛弃 。 缩 

微 胶卷 必须 切 成 小 的 碎片 ,以 至 抛弃 后 信息 不 能 恢复 。 

。 用 磁 介 质 存储 的 严格 限制 的 ,机 密 的 内 部 信息 必须 按 下 面 的 步骤 正确 处 理 : 退 
磁 、 重 新 格式 化 、 切 成 碎片 。 

。 含 有 严格 限制 的 ,机 密 的 内 部 信息 的 硬 复制 磁 介 质 ,缩微 胶卷 .系统 产 生 的 报告 必 
须 严 格 限 制 再 生 。 


174 ”技术 安全 需求 


技术 安全 需求 集中 在 对 计算 机 系统 、 网 络 系统 及 其 应 用 程序 的 控制 。 而 技术 安全 控 
制 的 主要 目标 是 保护 组 织 信息 资产 的 机 密 性 、 完 整 性 和 可 用 性 。 


1741 基本 安全 属性 需求 


1 机 密 性 需求 

机 密 性 是 保证 信息 与 信息 系统 不 被 非 授权 者 获取 与 使 用 。 根 据 企业 信息 等 级 分 类 策 
略 , 可 确定 机 密 性 的 需求 ,如 表 17-3 所 示 。 

2 数据 完整 性 需求 

完整 性 是 指 信息 是 真实 可 信 的 ,其 发 布 者 不 被 冒充 .来 源 不 被 伪造 .内 容 不 被 自 改 。 

必须 保证 在 系统 内 (操作 系统 、 硬 件 设备 .应 用 系统 ,数据库 ) 数 据 值 的 一 致 性 ,并 要 保 
持 送 到 系统 内 部 的 信息 和 来 自 外 部 系统 的 信息 一 致 性 。 必 须 保 证 发 生 系统 故障 时 ,能 将 
信息 恢复 至 稳定 的 状态 。 还 必须 保证 只 有 授权 用 户 和 授权 系统 可 修改 数据 。 
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表 17-3 ”基于 信息 等 级 分 类 策略 的 机 密 性 需求 


信息 等 级 机 密 性 需求 
公共 无 
内 部 公共 通信 上 (Internet, 拨 号 ) 传 输 需 加 密 ,鉴别 凭证 必须 加 密 
机 密 所 有 通信 必须 加 密 , 用 户 工作 站 、 台 式 机 上 的 文件 必须 加 密 
总 粮 限 前 所 有 通信 必须 加 密 ,用 户 工作 站 、 台 式 机 上 的 文件 必须 加 密 , 仅 限于 授权 
需要 知道 者 在 企业 内 部 通信 
3 可 用 性 需求 
可 用 性 是 指 保证 信息 与 信息 系统 可 由 授权 人 正常 使 用 ,确保 信息 与 信息 系统 处 于 一 
个 可 靠 的 运行 状态 之 下 。 


要 确保 信息 和 关键 服务 是 可 用 的 ,以 满足 经 营业 务 需 求 , 可 用 性 的 目标 是 信息 系统 功能 
正常 作用 ,数据 是 可 用 的 ,在 丢失 情况 下 数据 易于 恢复 。 信 息 可 用 性 的 影响 是 各 种 各 样 的 ， 
包括 自然 灾害 和 人 为 差错 ,引起 系统 提供 的 服务 中 断 , 无 法 获取 信息 ,或 者 系统 性 能 降低 ,不 
能 及 时 获得 信息 。 而 必须 及 时 得 到 关键 的 信息 和 服务 ,以 满足 经 营业 务 的 需求 。 表 17-4 是 
基于 企业 系统 关键 程度 的 可 用 性 需求 。 表 17-5 是 基于 信息 等 级 分 类 策略 的 可 用 性 需求 。 


表 17-4 基于 企业 系统 关键 程度 的 可 用 性 需求 


系 统 可 用 性 (高 .中 、 低 ) 系 统 可 用 性 (高 中 、 低 ) 
工程 网 络 及 系统 高 市 场 中 
电子 邮件 .日程 中 远程 访问 和 控制 中 
公司 电话 敌 低 技术 支持 中 
Internet 连接 高 内 部 网 应 用 高 
人 力 资 源 和 工资 单 高 销售 和 分 销 高 


表 17-5 基于 信息 等 级 分 类 策略 的 可 用 性 需求 


信息 等 级 可 用 性 需求 

公共 病毒 扫描 和 故障 在 线 恢复 后 备 

内 部 病毒 扫描 和 后 备 /恢复 

机 密 病毒 扫描 . 强 的 系统 配置 和 变更 管理 ,后 备 /恢复 
严格 限制 病毒 扫描 , 强 的 系统 配置 和 变更 管理 ,后 备 /恢复 


1742 用 户 标 识 与 鉴别 
鉴别 是 指 可 靠 地 验证 某 个 通信 参与 方 是 否 与 它 所 声称 的 身份 一 致 的 过 程 ,一 般 通 过 
某 种 复杂 的 身份 认证 协议 来 实现 。 身份 认证 是 建立 安全 通信 的 前 提 条 件 , 同 时 也 是 授权 
访问 和 审计 记录 等 服务 的 基础 。 计 算 机 系统 内 的 鉴别 包括 用 户 标 识 认证 ,传输 原 发 点 的 
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鉴别 .内 容 鉴别 以 及 特征 检测 。 用 户 可 以 是 人 、 计 算 机 系统 或 在 另 一 系统 执行 的 进程 。 在 
第 4 章 已 经 阐述 了 鉴别 的 主要 技术 和 方法 。 下 面 是 标识 和 鉴别 的 需求 : 
。 每 个 用 户 应 有 唯一 的 账户 。 不 仅 要 避免 使 用 共享 的 账户 ,而 且 要 避免 在 同一 平台 
上 赋予 一 个 用 户 多 个 用 户 名 。 
。 如 管理 员 需 要 综合 利用 通用 系统 , 则 必须 给 一 个 非 管理 的 账户 ,以 保证 管理 功能 
与 正常 的 操作 隔离 开 。 
。 用 户 ID 和 口令 必须 作为 一 个 整体 来 鉴别 。 如 鉴别 失败 ,不 应 给 用 户 明 确 指示 是 
用 户 ID 不 正确 还 是 口令 不 正确 。 
。 所 有 临时 的 员工 账户 必须 有 一 个 和 合同 服务 期 相 匹配 的 账户 有 效 期 ,必须 使 用 一 
个 不 同 于 正式 员工 的 命名 机 制 。 
。 用 户 账户 超过 60 天 不 活动 ,必须 停止 使 用 ,要 继续 使 用 时 ,应 由 该 账户 本 人 提出 
使 用 账户 的 申请 ,并 且 提 供用 户 标 识 的 证 明 。 表 17-6 是 基于 信息 等 级 分 类 策略 
的 标识 和 鉴别 需求 。 
表 17-6 ”基于 信息 等 级 分 类 策略 的 标识 和 鉴别 需求 


信息 等 级 标识 与 鉴别 需求 

公共 无 

内 部 用 户 ID 和 口令 (加 密 的 用 户 名 ,口令 ) 
机 密 强 鉴别 (加 密 用 户 名 口令 ,标记 、 证 书 ) 
严格 限制 强 鉴别 (加 密 用 户 名 口令 ,标记 、 证 书 ) 


1743 不 可 否认 


不 可 否认 的 安全 目标 对 发 生 的 专门 行为 提供 保证 , 它 包括 源 发 的 不 可 否认 、 提 交 的 不 
可 否认 以 及 传递 的 不 可 否认 。 不 可 否认 控制 防止 个 人 否认 对 报 文 的 接收 、 提 交 和 传递 。 
基于 信息 等 级 分 类 策略 的 不 可 否认 需求 如 表 17-7 所 示 。 
表 17-7 基于 信息 等 级 分 类 策略 的 不 可 否认 需求 


信息 等 级 不 可 否认 需求 

公共 需要 变更 控制 

内 部 需要 变更 控制 .最 少 的 文本 变更 历史 必须 保持 

机 密 需要 严格 的 变更 控制 .系统 级 文件 变更 历史 必须 保持 

严格 限制 需要 严格 的 变更 控制 ,字段 级 文件 变更 历史 必须 保持 。 需要 对 生成 者 和 
检查 者 进行 数字 签名 


1744 授权 与 访问 控制 


对 用 户 实施 鉴别 后 ,系统 必须 确保 用 户 有 足够 的 权利 来 执行 其 请 求 的 操作 。 访 问 控 
制 是 指 确定 可 给 予 哪些 主体 访问 的 权限 、 确 定 以 及 实施 访问 权限 的 过 程 。 访问 控制 一 般 
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都 是 基于 安全 策略 和 安全 模型 的 。 第 4 章 已 经 阐述 了 访问 控制 的 主要 技术 和 方法 。 通 常 
通过 系统 的 访问 控制 列表 (Access Control List, ACL) 来 实施 访问 控制 。 它 是 基于 各 种 准 
则 来 实施 的 ,如 基于 用 户 标 识 、 基 于 角色 、 基 于 时 间 以 及 基于 处 理 等 。 

基于 角色 的 访问 控制 十 分 有 效 。 它 基于 请 求 访问 用 户 的 工作 职能 来 决定 能 够 访问 什 

么 样 的 信息 ,如 程序 员 、 计 算 机 操作 员 、 系 统管 理 员 等 。 职 责 的 分 离 是 角色 和 责任 分 开 处 
理 ,以 防 单 个 人 破坏 关键 的 功能 。 这 也 是 减少 粗心 大 意 或 故意 滥用 系统 的 风险 ,以 免 非 授 
权 修 改 或 滥用 数据 。 授 权 与 访问 控制 的 需求 如 下 : 

。 最 小 特权 原则 。 用 户 特权 必须 限制 在 执行 赋予 的 职责 所 需 的 最 小 特权 。 例 如 , 系 
统管 理 员 .计算机 操作 员 应 用 和 系统 开发 与 维护 .网 络 管理 .安全 管理 以 及 安全 
审计 各 有 各 的 角色 和 职能 ,不 应 将 不 同 的 角色 赋予 同一 个 人 。 

。 所 有 严格 限制 的 .机密 的 内 部 信息 和 资源 必须 有 系统 访问 控制 ,以 保证 这 些 资 源 
不 会 不 适当 地 泄露 .修改 或 删除 。 表 17-8 列 出 了 授权 与 访问 控制 需求 。 


表 17-8 ”授权 与 访问 控制 需求 


信息 等 级 授权 与 访问 控制 需求 

公共 需要 修改 的 访问 控制 

内 部 由 经 营业 务 单元 或 功能 授权 ,需要 访问 控制 

机 密 由 经 营业 务 单元 或 功能 授权 ,需要 详细 的 基于 角色 的 访问 控制 

严格 限制 由 经 营业 务 单元 或 功能 授权 ,需要 详细 的 基于 角色 的 访问 控制 
1745 隐私 


隐私 (个 人 秘密 ) 是 当今 信息 经 济 中 最 重要 的 问题 之 一 。 组 织 缺乏 恰当 的 个 人 秘密 的 
惯例 正在 面临 法 律 ,法规 和 伦理 的 挑战 。 个 人 秘密 应 用 到 组 织 的 信息 处 理 中 实际 包括 以 
下 内 容 : 

。 搜集 有 关 个 人 (如 员工 、 客 户 ) 的 信息 。 

。 搜集 有 关 个 人 信息 的 方法 。 

。 有 关 个 人 信息 的 共享 。 

。 搜集 和 共享 有 关 个 人 信息 的 牵连 。 

。 能 控制 搜集 他 人 信息 的 方法 。 

通常 个 人 标识 信息 (Personally Identifiable Information，PII) 是 公共 注意 的 中 心 , 因 
为 PII 能 标识 和 确定 一 个 人 。 假 如 能 用 健康 .财经 .个 人 通信 信息 来 标识 和 确定 一 个 人 ， 
那么 这 些 数据 十 分 敏感 ,并 且 能 进行 身份 标识 的 欺骗 。 生 成 个 人 秘密 的 经 营 活动 包括 人 
力 资源 系统 管理 ,员工 监控 ,电子 邮件 、Internet 使 用 、 搜 集 个 人 数据 的 消费 处 理 过 程 、 直 
接 销 售 .数据 仓库 .数据 发 掘 以 及 国际 数据 传输 等 。 

个 人 秘密 与 信任 有 关 。 如 果 组 织 不 能 对 其 员工 和 消费 客户 提供 一 个 信任 的 气氛 ,就 
会 很 快 破坏 消费 者 和 员工 的 机 密 。 当 今 很 多 国家 、 地 区 都 制定 了 一 些 个 人 秘密 的 法 规 。 
例如 , 欧 共 体 于 1998 年 制定 了 欧 共 体 数据 保护 指令 (EU Data Protection Directive) ,规定 
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凡是 要 向 非 欧 共 体 国 家 传递 个 人 数据 ,只 限于 那些 对 个 人 秘密 保护 提供 合适 水 准 的 国家 。 

在 美国 ,联邦 政府 贸易 委员 会 (FTC) 于 2000 年 向 国会 提交 了 有 关 面 向 消费 者 的 商业 
Web 站 点 的 规定 。 按 照 这 些 规定 ,在线 搜集 PII 的 面向 消费 者 的 商业 Web 站 点 应 遵守 
4 个 广泛 接受 的 合理 的 信息 惯例 : 注意 、 选 择 , 访 问 、 安 全 。 

对 注意 这 一 类 别 , Web 站 点 需要 向 消费 者 提供 清晰 的 .明显 的 信息 惯例 的 注意 ,包括 
搜集 什么 信息 ,如何 搜集 信息 ,如 何 使 用 搜集 到 的 信息 ,如 何 为 消费 者 提供 选择 .访问 、 安 
全 ,是 和 否 向 其 他 实体 泄露 搜集 的 信息 ,其 他 站 点 是 否 通 过 该 站 点 搜集 信息 。 

对 选择 这 一 类 别 ,Web 站 点 需要 向 消费 者 提供 选择 ,除了 使 用 已 经 提供 的 信息 (例如 
消费 者 做 了 一 次 消费 事务 处 理 ) 外 ,还 包括 如 何 使 用 其 个 人 标识 信息 。 这 样 的 选择 包括 内 
部 的 二 次 使 用 (例如 返回 消费 者 的 市 场 行为 ) ,也 包括 外 部 的 二 次 使 用 (例如 向 其 他 实体 汇 
露 信息 ) 。 

对 访问 这 一 类 别 , Web 站 点 需要 向 消费 者 提供 Web 站 点 已 经 搜集 到 的 信息 的 适当 
访问 ,包括 适当 的 机 会 回顾 信息 ,纠正 不 正确 的 或 删除 的 信息 。 

对 安全 这 一 类 别 , Web 站 点 需要 采取 适当 的 步骤 来 保护 从 消费 者 搜集 到 的 信息 的 
安全 。 

以 下 是 有 关 企 业 个 人 秘密 的 需求 : 

。 必须 在 组 织 内 开发 操作 过 程 以 确保 个 人 秘密 问题 的 处 理 。 

。 必须 完成 一 个 剪裁 的 综合 个 人 秘密 审计 程序 ,以 提供 选择 ,和 本 地 区 的 个 人 秘密 

法 规 相 一 致 。 
。 医疗 保健 经 营 单位 必须 遵守 该 行业 的 个 人 秘密 法 规 。 
。 在 欧洲 必须 遵守 欧 共 体 数据 保护 指令 。 


1746 网 络 安全 需求 


企业 的 网 络 基 础 设施 是 企业 的 信息 高 速 公路 , 它 包 括 内 部 系统 和 外 部 系统 。 近 年 来 ,很 
多 企业 将 以 主机 为 中 心 的 集中 人 处理 移 到 分 布 处 理 环境 ,以 提供 用 户 的 Internet 访问 以 及 用 
户 在 家 里 或 外 出 时 通过 拨号 或 虚拟 专 网 VPN 进入 网 络 的 能 力 。 虽 然 这 些 分 布 系统 为 用 户 
提供 了 方便 和 灵活 性 ,但 比 传统 的 系统 有 更 多 的 漏洞 ,能 使 非 授 权 者 入 侵 。 将 数据 移 到 
Internet 的 开放 系统 、 更 多 的 访问 点 、 非 集中 控制 以 及 使 用 混合 的 网 络 环境 (如 Novell、 
Windows NT、UNIX 并 运行 SAP、Oracle 和 peoplesoft 等 ) 都 是 增加 入 侵 的 可 能 因素 。 
企业 应 该 根据 其 自身 的 价值 ,定义 与 之 相 适 应 的 网 络 资源 有 效 保护 水 平 ,使 网 络 安全 
与 网 络 支 持 的 经 营业 务 处 理 一 致 。 网 络 安全 必须 同 每 个 应 用 、 数 据 库 或 连 到 网 络 的 平台 
相 联 系 的 漏洞 暴露 程度 和 风险 级 别 相 一 致 。 以 下 是 企业 网 络 安 全 需求 的 内 容 : 
。 企业 网 络 安全 应 提供 对 分 布 系统 的 集中 管理 控制 ,在 网 络 运行 中 心 对 多 个 数据 中 
心 和 企业 的 各 个 场地 实施 安全 管理 。 
。 企业 网 络 进入 点 必须 提供 一 个 系统 标题 ,说 明 系 统 的 使 用 仅 限 于 授权 用 户 。 此 
外 ,标题 还 应 指出 对 非 授权 用 户 进 入 系统 的 企图 会 采取 的 行动 。 系 统 标题 必须 对 
所 有 试图 访问 企业 计算 机 系统 的 用 户 显 示 。 
。 所 有 生产 网 络 设备 ,包括 LAN 服务 器 .路 由 器 和 交换 器 ,必须 存放 在 物理 安全 的 
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区 域 ,并 将 房间 加 锁 ,以 防 非 授 权 者 进入 。 
。 所 有 同 企业 外 公司 的 直接 连接 或 专用 网 络 连接 必须 得 到 信息 安全 部 门 的 批准 。 
。 所 有 从 Internet 或 外 部 网 伙伴 到 企业 内 部 网 的 通信 必须 通过 企业 设置 的 防火 墙 。 
下 面 就 防火 墙 `. 远 程 访问 、 安 全 监控 与 审计 、 平 台 安 全 以 及 电子 邮件 的 安全 需求 做 具 
体 曾 述 。 


1 防火 墙 安 全 需求 

Internet 和 分 布 计算 改变 了 组 织 经 营业 务 的 方法 ,同时 也 改变 了 网 络 安全 的 方法 。 
企业 网 络 不 由 物理 边界 来 确定 ,而 是 由 企业 范围 的 安全 体系 结构 来 定义 。 防 火 墙 作为 整 
个 安全 体系 结构 的 重要 组 成 部 分 ,是 保护 组 织 信息 资产 的 一 个 周边 防御 。 防 火 墙 是 在 两 
个 或 更 多 的 网 络 间 限制 访问 的 专门 设备 。 第 8 章 专门 讲述 了 防火 墙 的 功能 、 技 术 及 体系 
结构 ,下 面 从 工程 的 角度 闹 述 其 安全 需求 ， 

。 必须 通过 周边 防火 墙 在 内 部 网 和 外 联网 之 间 控 制 访问 。 必 须 通过 非 军事 区 
(CDMZ) 在 公共 访问 服务 器 和 不 能 通过 Internet 直接 访问 的 服务 器 之 间 控 制 访问 。 
必须 在 不 同 级 别 的 安全 和 访问 需求 的 内 部 网 络 之 间 控 制 访问 ,例如 ,账户 和 工资 
服务 器 同 工 程 开发 服务 器 之 间 的 控制 访问 。 

， 通 过 modem 池 和 专门 拨号 网 络 的 访问 必须 严格 控制 。 

。 对 第 三 方 控制 的 网 络 的 访问 或 来 自 第 三 方 控制 的 网 络 的 访问 必须 通过 防火 墙 
控制 。 

内 部 网 络 的 地 址 对 外 部 网 络 必须 隐藏 起 来 。 

必须 建立 防火 墙 的 文档 ,至 少 应 包括 防火 墙 的 策略 及 包括 每 个 规则 的 推理 。 
必须 对 防火 墙 和 所 有 路 由 器 .交换 机 等 网 络 设备 采用 强 的 口令 控制 。 防 火 墙 和 所 
有 网 络 设备 必须 提供 合适 的 标识 与 鉴别 控制 。 防 火 墙 的 远程 管理 必须 采用 强 的 
鉴别 。 

*。 防火 墙 和 路 由 器 的 配置 必须 能 加 强 内 部 网 的 安全 。 例 如 ,必须 开发 访问 控制 列 

表 , 尤 其 对 具有 内 部 IP 地 址 的 进入 通信 的 访问 进行 严格 限制 。 为 了 防止 IP 地 址 
假冒 ,在 路 由 器 和 防火 墙 产品 中 不 允许 采用 源 路 由 选择 。 如 FTP、TELNET、 
TFTP、RLOGIN 等 敏感 服务 必须 通过 端口 号 由 防火 墙 和 路 由 器 对 进入 的 通信 进 
行 过 滤 。 所 有 宛 余 的 和 不 必要 的 处 理 必须 从 防火 墙 移 去 。 

。 防火 墙 产品 必须 支持 状态 检验 ,而 不 只 是 简单 的 分 组 过 滤 。 

2 远程 访问 安全 需求 

愈 来 您 多 的 企业 广泛 使 用 服务 器 提供 的 拨号 Internet 访问 ,为 移动 用 户 提供 访问 企 
业 网 资源 的 方法 。 通 过 诸如 拨号 、 帧 中 继 、ISDN、 电 缆 modem 或 数字 用 户 线 (Digital 
Subscriberline, DSL) 的 远程 访问 ,有 可 能 使 企业 内 部 网 受到 威胁 ,如 同 受到 公共 网 的 威胁 
一 样 。 为 了 降低 这 些 威胁 ,必须 有 足够 的 控制 。 对 远程 访问 的 安全 需求 如 下 : 

。 从 Internet 对 企业 资源 进行 远程 访问 时 ,数据 机 密 性 和 完整 性 必须 在 任意 时 间 在 

公共 网 上 得 到 保护 。 

。 必须 通过 强 的 鉴别 方法 来 确定 两 个 端点 之 间 的 标识 。 远 程 用 户 远程 访问 系统 的 
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机 密 和 严格 限制 信息 必须 使 用 双 因子 鉴别 。 

。 直接 接 到 个 人 计算 机 的 个 人 通信 设备 的 远程 控制 软件 必须 严格 控制 使 用 。 

。 所 有 远程 访问 通信 必须 通过 一 个 中 央 控 制 点 (集中 的 modem 池 和 防火 墙 ) 来 实施 
集中 安全 管理 和 日 志 。 

。 远程 访问 会 话 一 旦 断 链 ,必须 自动 结束 或 重新 鉴别 ,持续 10 分 钟 不 活动 ,会 话 必 
须 自动 结束 。 

。 在 3 次 无 效 连接 访问 企图 后 ,远程 访问 会 话 必须 结束 ,在 重新 设置 安全 管理 前 , 必 
须 保持 不 能 再 连接 。 


3 安全 监控 与 审计 需求 
安全 监控 是 维持 计算 机 环境 安全 的 关键 。 使 用 企业 系统 的 有 关 活 动 应 予以 监控 ,以 
保证 在 这 些 系统 上 的 企业 信息 不 泄露 给 非 授 权 者 ,维护 数据 的 机 密 性 、 完 整 性 和 可 用 性 。 
监控 处 理 包括 天 天 监控 以 及 使 用 监控 安全 的 运行 过 程 。 这 些 监控 活动 应 包括 基于 网 络 和 
基于 主机 的 和 人 侵 , 事 件 日 志 工 具 , 日 志 检查 过 程 , 安 全 事件 检查 ,定期 的 .实时 的 活动 评估 
以 及 穿 透 测试 。 
系统 用 户 和 操作 员 要 经 常 发 现 故意 的 或 无 意 的 旁 路 安全 控制 的 新 途径 。 安 全 审计 日 
志 通 过 记录 用 户 活 动 来 支持 每 个 人 的 可 审 性 。 没 有 适当 的 审计 机 制 , 用 户 对 其 活动 不 能 
保持 可 审 性 ,安全 破坏 也 无 法 检测 。 
人 工地 检查 安全 特性 以 及 解释 审计 日 志 是 费时 的 任务 。 应 该 通过 自动 工具 来 监控 。 
在 企业 网 络 环境 中 ,各 种 设备 有 各 种 事件 ,如 防火 墙 日 志 、 入 侵 检测 系统 (IDS) 事 件 、 系 统 
漏洞 .用户 审计 及 其 在 不 同系 统 的 活动 跟踪 。 这 就 使 得 区 分 一 个 异常 事件 和 一 个 严重 的 
协同 攻击 十 分 困难 。 下 面 列 出 了 安全 监控 的 需求 : 
。 将 所 有 安全 事件 合并 在 单一 管理 控制 台 的 集中 管理 解决 方案 是 必需 的 。 这 个 管 
理 控 制 台 ,可 以 详细 检查 来 自 各 种 数据 源 的 安全 事件 ,引出 基于 它们 的 外 部 事件 ， 
并 生成 企业 安全 轮廓 和 状态 。 
。 所 有 企业 的 应 用 、 平 台数 据 库 、 网 络 系统 或 同 这 些 系统 接口 的 其 他 系统 都 必须 提 
供 日 志 能 力 。 必 须 记录 的 信息 类 型 包括 : 
所 有 系统 安全 参数 、 安 全 轮廓 、 安 全 账户 口令 的 改变 ; 
所 有 的 特权 账户 (系统 管理 员 ) 的 改变 ; 
所 有 由 特权 进程 处理 \ 程 序 进行 的 安全 参数 的 改变 ; 
所 有 修改 和 删除 审计 日 志 的 企图 ; 
所 有 使 严格 限制 的 和 机 密 的 数据 和 软件 的 改变 ; 
所 有 的 安全 违例 (登录 企图 或 口令 猜测 活动 ); 
作案 者 的 用 户 ID、 事 故 的 日 期 和 时 间 、 受 影响 的 资源 名 、 进 行 的 活动 以 及 设备 的 
位 置 (IP 地 址 或 最 终 的 ID) 等 信息 。 
。 必须 保护 所 有 的 日 志 , 以 防 非 授权 者 修改 、 删 除 或 读 取 。 
。 必须 记录 所 有 拨号 、 基 于 Internet 的 远程 访问 ,包括 链接 . 断 链 、 违 例 。 
。 所 有 日 志 必 须 至 少 保留 6 个 月 或 遵照 法 规 的 要 求 。 
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。 所 有 关键 数据 (严格 限制 的 和 机 密 的 数据 ) 的 安全 日 志 必 须 每 天 、 每 周 检查 。 其 他 
的 日 志 也 必须 至 少 2 个 月 检查 一 次 。 

。 基于 网 络 和 基于 主机 的 实时 人 侵 检测 系统 必须 对 关键 应 用 平台 数据库 或 网 络 
进入 点 检测 攻击 或 系统 入 侵 。 

。 一 个 计算 机 事故 响应 组 (Computer Incident Response Team, CIRT) 的 组 成 应 包 
括 系统 工程 师 ,安全 管理 者 .操作 员 以 及 IT 人 员 。 这 个 组 应 开发 一 个 紧急 情况 事 
件 的 行动 程序 ,例如 ,从 网 上 切断 已 受 病毒 感染 的 机 器 ,并 且 有 权 立 即 采取 这 些 行 
动 。 响 应 组 人 员 的 姓名 和 联系 方式 应 公布 给 企业 的 每 一 个 员工 。 


4 平台 安全 需求 
需要 保护 所 有 硬件 和 软件 平台 ,这 种 保护 是 基于 它们 对 组 织 的 价值 以 及 它们 的 丢失 
可 能 的 影响 进行 的 。 由 操作 系统 平台 执行 的 数据 存储 、 处 理 和 传输 应 予以 保护 ,以 防 非 授 
权 泄 露 .修改 和 破坏 。 必 须 实施 平台 的 访问 控制 以 保护 存储 的 数据 。 企 业 用 的 平台 是 多 
种 多 样 的 ,比较 常用 的 平台 有 用 于 桌面 的 Windows NT 工作 台 、Windows 2000, 用 于 文件 
和 打印 服务 的 Novell, 用 于 应 用 服务 器 的 Sun Solaris IBM AIX、Windows NT 等 。 平台 
的 安全 需求 如 下 : 
。 平台 安全 必须 同 运行 在 平台 上 的 最 敏感 的 最 有 价值 的 应 用 暴露 水 平 相 一 致 。 
。 所 有 平台 安全 设置 的 改变 必须 得 到 相应 的 系统 和 信息 安全 管理 的 批准 。 
。 只 有 必需 的 系统 运行 服务 在 平台 上 运行 。 
。 平台 必须 实施 标准 的 命名 惯例 ,以 清楚 地 区 分 生产 和 非 生产 资源 。 
。 当 一 个 用 户 获 得 对 系统 的 授权 访问 时 ,系统 应 显示 一 个 标题 ,包括 用 户 上 一 次 成 
功 登录 的 日 期 和 时 间 、 最 近 发 生 的 不 成 功 登录 的 次 数 。 用 户 必 须 学 会 观察 这 个 标 
题 , 并 向 安全 管理 报告 任何 的 异常 。 
。 所 有 在 用 户 工 作 站 和 台式 机 上 的 严格 限制 和 机 密 数 据 必 须 进 行 加 密 。 


5 电子 邮件 安全 
电子 邮件 已 经 成 为 一 个 关键 的 和 不 可 缺少 的 经 营 工具 ,用 于 外 部 和 内 部 的 通信 。 当 
处 理 通信 的 介质 是 数字 的 、 全 球 互联 的 .大量 的 \ 不 规则 的 时 ,可 能 的 风险 和 危害 的 范围 按 
指数 增加 。 与 电子 邮件 的 使 用 相关 联 的 风险 ,包括 对 商贸 秘密 和 其 他 内 部 信息 的 泄露 ,机 
密 客 户 信 息 的 泄露 ,围绕 性 骚扰 和 歧视 的 诉讼 分 辨 ,版 权 侵犯 的 责任 , 非 授 权 的 评论 引起 
的 信誉 损失 ,计算 机 网 络 被 病毒 和 蠕虫 感染 。 
电子 邮件 是 企业 对 内 、 对 外 通信 的 主要 方式 ,用 来 发 送 文件 .讲话 .电子 数据 表 并 
Web 连接 到 个 人 或 一 群 人 。 只 有 授权 用 户 才 能 访问 和 使 用 电子 邮件 资源 。 电 子 邮 件 通 
信 的 安全 需求 如 下 : 
。 在 内 部 和 外 部 网 上 的 电子 邮件 报 文 内 容 必须 在 任意 时 间 内 保持 其 机 密 性 和 完整 
性 。 对 严格 限制 的 .机 密 的 内 部 信息 必须 加 密 。 
。， 电 子 邮 件 体系 结构 必须 对 源 发 .提交 传递 提供 不 可 否认 的 功能 。 即 每 个 人 不 能 
否认 对 报 文 的 接收 、 提 交 和 传递 。 
。 保证 天 天 运行 的 电子 邮件 的 可 用 性 是 关键 。 高 可 用 性 的 解决 方案 必须 用 于 电子 
邮件 的 体系 结构 ,包括 电子 邮件 服务 器 和 存储 空间 。 
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。 必须 实施 电子 邮件 监控 ,以 监视 不 适当 的 内 容 和 病毒 扫描 。 
”7.5 本 章 小 结 


网 络 安全 需求 是 根据 安全 策略 导出 的 。 合 适 的 安全 需求 可 以 以 较 小 的 代价 控制 风 
险 , 包 括 管理 .运行 ,技术 控制 3 方面 的 需求 ,以 满足 信息 资产 的 机 密 性 ,完整 性 、 可 用 性 和 
可 审 性 。 

安全 威胁 可 分 为 外 部 安全 威胁 与 内 部 安全 威胁 两 类 。 由 威胁 引起 的 损失 可 分 成 直接 
损失 与 间接 损失 两 类 ,间接 损失 是 指 由 于 直接 损失 引起 的 后 果 。 根 据 美 国 CSI/FBI 的 统 
计 资 料 ,大 部 分 严重 的 经 济 损失 来 自 内 部 的 安全 威胁 ,而 间接 损失 又 占 总 损失 的 大 部 分 。 

管理 安全 需求 集中 在 高 层 管理 控制 , 它 会 影响 整个 组 织 的 安全 结构 设计 和 布局 。 

运行 安全 需求 致力 于 支撑 正常 经 营业 务 所 需 的 控制 ,包括 物理 和 环境 保护 、 物 理 访问 
控制 .经 营业 务 应 急 计划 (BCP) 与 灾难 恢复 计划 (DRP) 、 用 来 监控 系统 与 应 用 软件 安装 和 
升级 的 系统 与 应 用 的 维护 控制 ,以 及 敏感 材料 的 处 理 。 

技术 安全 需求 集中 在 对 计算 机 系统 、 网 络 系统 及 其 应 用 程序 的 控制 上 。 控 制 的 主要 
目标 是 保护 组 织 信息 资产 的 机 密 性 、 完 整 性 和 可 用 性 。 

计算 机 系统 的 鉴别 包括 用 户 标识 认证 ,传输 原 发 点 的 鉴别 .内 容 鉴 别 以 及 特征 检测 。 
应 基于 信息 等 级 分 类 策略 提出 标识 和 鉴别 需求 。 

企业 的 网 络 基础 设施 是 企业 的 信息 高 速 公路 , 它 包 括 内 部 系统 和 外 部 系统 。 应 根据 
其 自身 的 价值 ,定义 与 之 相应 的 网 络 资源 有 效 保护 水 平 ,使 网 络 安全 与 网 络 支持 的 经 营业 
务 处 理 一致 ,提出 企业 网 络 安全 需求 。 

应 从 管理 和 工程 角度 对 防火 墙 , 远 程 访问 、 安 全 监控 审计 .平台 安全 以 及 电子 邮件 提 
出 具体 的 安全 需求 。 


习 题 


1. 安全 威胁 可 分 为 外 部 安全 威胁 与 内 部 安全 威胁 两 类 。 由 威胁 引起 的 损失 可 分 为 
直接 损失 与 间接 损失 两 类 。 根 据 美 国 CSI/FBI 的 统计 资料 ,大 部 分 严重 的 经 济 损失 来 自 
( ) 安 全 威胁 ,而 ( ) 又 占 总 损失 的 大 部 分 。 

A. 外 部 ,间接 B. 内 部 ,间接 C. 内 部 ,直接 D. 外 部 ,直接 

2. 安全 模型 的 核心 组 成 是 ( ) 和 ( )。 


A. 风险 评估 ,安全 策略 B. 信息 分 类 处 理 , 安 全 需求 
C. 风险 评估 ,信息 分 类 处 理 D. 上 面 3 项 都 不 是 
3. ( ) 与 ( ) 能 使 企业 在 发 生 重大 破坏 事件 时 保持 正常 的 经 营业 务 的 运行 。 
A. BIA,BCP B. BCP.,DRP C. BIA,DRP D. 上 面 3 项 都 是 


4. 技术 安全 需求 集中 在 对 (  ) 的 控制 上 ,而 技术 安全 控制 的 主要 目标 是 保护 组 织 信 
息 资产 的 ( )。 
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A. 计算 机 系统 ,完整 性 B. 网 络 系统 ,可 用 性 
C. 应 用 程序 ,机 密 性 D. 上 面 3 项 都 是 

5. 计算 机 系统 的 鉴别 包括 ( )。 
A. 用 户 标 识 认证 B. 传输 原 发 点 的 鉴别 
C. 内 容 鉴别 及 特征 检测 D. 以 上 3 项 都 是 

6. 什么 是 管理 安全 成 功 的 关键 和 难点 ? 

7. 企业 变更 管理 的 需求 有 哪些 ? 

8. 企业 网 络 的 安全 需求 有 哪些 ? 

9. 什么 是 防火 墙 的 安全 需求 ? 


10. 什么 是 远程 访问 的 安全 需求 ? 
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18 登 
第 18 页 人 基础 设施 设计 原理 


本 章 要 点 : 

。 安全 基础 设施 定义 与 组 成 ; 

。 安全 基础 设施 设计 的 基本 目标 ; 

。 基础 设施 安全 服务 与 安全 机 制 ; 

。 支撑 性 安全 基础 设施 的 作用 与 提供 的 服务 

。 公 钥 基础 设施 的 组 成 及 管理 对 象 ; 

。 对 称 密 钥 管理 的 特点 及 关键 因素 ; 

。 基础 设施 目录 服务 的 功能 及 重要 特性 ; 

。 信息 系统 安全 工程 的 过 程 与 方法 。 

安全 设计 需要 将 艺术 、 科 学 和 工程 集成 于 一 体 。 不 仅 需 要 完全 了 解 安全 设计 所 保护 
的 资产 价值 ,而 且 需 要 预测 可 能 采取 各 种 方式 的 恶意 企图 。 安 全 设计 是 一 门 艺术 (技艺 )， 
需要 有 直观 的 头脑 以 及 多 年 对 付 黑客 的 经 验 , 预测 很 多 (即使 不 是 全 部 ) 可 能 的 暴露 点 。 
安全 设计 是 一 门 科学 ,设计 的 各 个 组 成 应 是 科学 的 、 明 确 的 ,为 了 保护 你 的 企业 ,需要 丰富 
的 知识 。 安 全 设计 又 是 一 项 工程 ,需要 用 系统 工程 的 方法 ,体系 结构 的 观点 ,综合 处 理 安 
全 过 程 。 

在 完全 了 解 所 需 保护 的 企业 资产 以 及 如 何 操作 后 ,作为 一 个 安全 设计 师 , 第 一 个 职责 
是 始终 如 一 地 紧 跟 工业 实际 ,掌握 实际 动向 和 知识 ,至 少 要 掌握 最 近 的 黑客 工具 和 攻击 技 
术 的 知识 。 作 为 安全 设计 师 的 第 二 个 职责 是 设计 和 构造 一 个 安全 基础 设施 ,该 基础 设施 
需要 适合 当前 的 经 营业 务实 际 , 且 要 具有 可 扩展 性 ,以 适应 今后 的 发 展 。 在 设计 和 集成 安 
全 基础 设施 前 ,首先 要 针对 当前 的 这 些 威胁 ,并 了 解 其 发 展 趋势 。 在 实施 基础 设施 的 安全 
技术 时 ,应 用 系统 工程 方法 将 处 理 分 成 若干 个 子 组 成 ,确定 为 了 保护 企业 资产 ,部 署 选择 
安全 策略 的 方法 。 这 些 处 理 包 括 物理 的 .逻辑 的 设备 安置 以 及 这 些 设备 运行 和 监控 的 
手段 。 


第 18 章 安全 基础 设施 设计 原理 mm 


181 ”安全 基础 设施 概述 


在 阐述 安全 基础 设施 设计 之 前 ,首先 必须 弄 懂 安全 设计 的 基本 定义 和 组 件 。 
1811 安全 基础 设施 的 概念 


一 个 安全 基础 设施 应 提供 很 多 安全 组 件 的 协同 使 用 ,其 体系 结构 可 改进 整个 的 安全 
特性 ,而 不 仅 是 各 个 安全 组 件 的 特性 。 使 用 这 个 定义 ,可 推论 出 安全 基础 设施 的 设计 和 
特性 。 

以 防火 墙 为 例 ,使 用 防火 墙 可 以 很 好 地 实施 安全 策略 ,但 是 ,如 果 它 不 能 和 体系 结构 
中 的 其 他 组 件 很 好 地 连接 ,就 不 能 构成 一 个 安全 基础 设施 。 例 如 ,这 个 防火 墙 不 能 和 安全 
基础 设施 的 其 他 方面 互相 联系 .互相 作用 , 那 它 只 是 一 个 安全 组 件 ,而 不 是 安全 基础 设施 
的 一 部 分 。 这 就 是 安全 基础 设施 定义 中 的 协同 组 件 。 再 如 ,假如 从 防火 墙 能 发 送 报警 至 
事件 管理 站 ,由 事件 管理 站 处 理 成 通知 网 络 运行 中 心 (Network Operations Center， 
NOC) 的 报警 ,那么 ,防火 墙 可 能 成 为 基础 设施 的 一 部 分 。 反 之 ,如 防火 墙 本 身 做 得 很 好 ， 
其 屏幕 可 显示 大 部 分 入侵 的 通信 , 且 能 在 搜集 后 做 日 志 , 但 它 不 能 通知 其 他 任何 组 件 , 那 
防火 墙 的 作用 是 不 完全 的 。 如 果 将 防火 墙 和 入 侵 检测 、 强 的 身份 鉴别 .加 密 的 隧道 
(VPN) 等 组 件 协同 作用 ,就 能 设计 成 一 个 基本 的 安全 基础 设施 。 


1812 安全 基础 设施 的 组 成 


安全 基础 设施 的 主要 组 成 有 4 部分: 网 络 ,平台 物理 设施 .处 理 过程 。 

网 络 类 包括 防火 墙 . 路 由 器 交换 机 、 远 程 访问 设备 (如 VPN 和 拨号 modem 池 ) 以 及 
基于 网 络 的 和 人 侵 检测 ,它们 分 别 在 整个 安全 设计 中 增加 某 些 安全 特性 。 这 些 组 件 通 过 其 
网 络 接口 或 在 软件 中 定义 的 逻辑 来 监控 ,过滤 或 限制 通信 。 这 些 安全 组 件 的 作用 是 监控 
和 保护 在 网 络 中 通过 的 数据 ,或 保护 在 应 用 中 通过 、 使 用 的 数据 。 

平台 类 包括 服务 器 .客户 端 软件 (例如 ,执行 操作 系统 和 安全 应 用 的 控制 )。 执 行 一 些 
电子 操作 (如 智能 卡 和 读 卡 器 ,产生 凭证 的 硬件 卡 、 基 于 硬件 的 加 密 设备 ?的 设备 也 属于 这 
一 类 。 平台 类 还 包括 应 用 级 访问 控制 ,如 产生 凭证 的 软件 程序 、 数 字 证 书 、 基 于 主机 的 入 
侵 检 测 .病毒 扫描 和 清除 .事件 搜集 代理 和 分 析 软 件 程序 。 应 用 级 访问 控制 能 提供 鉴别 、 
授权 、` 基 于 主机 的 人 侵 检测 和 分 析 、 病 毒 检测 和 清除 .事件 账户 管理 和 分 析 等 功能 。 这 些 
安全 功能 用 来 保护 常 驻 在 主要 基础 设施 边界 的 应 用 。 

安全 基础 设施 的 物理 组 成 包括 标准 的 门 钥匙 和 锁 \ 钥 匙 卡 、 标 识 标志 安全 照相 机 、 活 
动 传感器 、 声 像 报 警 .安全 警卫 和 系统 、 设 备 标签 等 。 根 据 人 的 生物 特征 检测 的 设备 也 属 
于 这 一 类 ,如 指纹 读 出 器 、 面 部 形状 照相 机 、 视 网 膜 扫 描 器 等 。 这 些 仿 生 组 件 是 通过 自然 
本 质 来 标识 和 鉴别 用 户 的 。 属 于 这 一 类 的 还 有 网 络 电缆 和 后 备 电源 (如 UPS 系统 和 自 备 
发 电机 )。 物 理 安全 设施 的 基本 目的 是 防止 非 授 权 者 进入 以 及 保护 安全 基础 设施 的 电力 
供应 和 网 络 连接 。 
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处 理 过 程 包 括 企 业 安 全 策略 和 过 程 文档 ,用 来 管理 企业 数据 的 生成 使 用 、 存 储 和 销 
毁 , 以 及 管理 这 些 数据 所 在 的 系统 和 网 络 。 企 业 安全 策略 的 目的 是 定义 企业 资产 保护 的 
范围 以 及 对 这 些 资 产 所 需 的 专门 保护 机 制 。 企 业 安全 过 程 是 企业 安全 策略 文档 的 一 个 组 
成 ,用 来 指导 员工 在 特定 环境 下 的 行动 。 企 业 安 全 策略 和 过 程 是 安全 基础 设施 的 重要 组 
成 。 有 了 综合 的 安全 策略 和 过 程 文档 ,安全 设计 师 就 能 明白 什么 样 的 资产 是 企业 需要 保 
护 的 ,以 及 如 何 保护 这 些 资 产 。 

虽然 安全 策略 文档 提供 数据 .系统 和 网 络 的 保护 策略 ,但 它 对 厂商 选择 .设计 或 实施 
并 不 规定 所 需 的 详细 战术 。 这 些 安全 组 件 的 成 功 实施 需要 了 解 安全 基础 设施 目标 ,否则 
可 能 会 不 合适 地 保护 或 完全 朴 忽 那些 关键 资产 。 


182 ”安全 基础 设施 的 目标 


安全 基础 设施 设计 的 基本 目标 是 保护 企业 的 资产 。 保 护 这 些 资产 的 方法 是 适当 地 部 
署 各 个 安全 组 件 于 有 组 织 的 ,协同 的 安全 基础 设施 中 。 这 些 资产 包括 硬件 .软件 .网 络 组 
件 以 及 知识 财产 。 保 护 这 些 资产 应 根据 企业 安全 目标 和 企业 安全 策略 文档 。 虽 然 提 到 的 
只 是 数据 的 保护 ,实际 上 保护 数据 及 其 可 用 性 也 意味 着 保护 执行 的 系统 和 网 络 。 

根据 选择 的 数据 等 级 分 类 体制 ,每 种 数据 保护 目标 应 按 数据 机 密 性 ,数据 完整 性 和 数 
据 可 行 性 来 表示 和 衡量 。 

当 设 计 一 个 安全 基础 设施 时 ,把 应 用 的 最 好 结果 作为 目标 。 因 为 应 用 最 靠近 数据 以 
及 数据 的 处 理 、 交 换 和 存储 。 将 设计 目标 放 在 数据 机 密 性 、 数 据 完整 性 和 数据 可 用 性 上 ， 
会 发 现 这 不 仅 使 应 用 得 到 安全 ,而 且 企 业 也 得 到 安全 。 这 个 概念 如 图 18-1 所 示 。 


-- 应 用 的 用 户 
- - 运行 应 用 的 系统 
一 一 ---- 客户 机 和 服务 器 接 入 的 网 络 


>>------ 物理 安全 基础 设施 


图 18-1 以 应 用 为 目标 的 安全 设计 概念 


数据 机 密 性 的 前 提 是 防止 非 授权 者 看 到 非 公 共 使 用 的 数据 。 数 据 机 密 性 应 用 于 本 书 
所 定义 的 具有 内 部 的 、 机 密 的 、 严 格 限 制 的 标记 的 数据 。 通 过 安全 数据 存储 和 安全 数据 传 
输 提供 数据 机 密 性 保护 。 满 足 数 据 机 密 性 要 求 的 典型 技术 包括 数据 传输 、 安 全 在 线 和 高 
线 存储 的 加 密 。 
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数据 完整 性 是 关于 对 数据 的 任何 非 授 权 改 变 或 破坏 的 保护 。 这 个 目标 的 基本 点 是 数 
据 的 准确 性 和 合法 性 。 通 过 产生 原始 数据 集 检查 和 同 复制 的 数据 进行 比较 的 程序 来 管理 
完整 性 。 提 供 数 据 完 整 性 的 通常 解决 方案 是 使 用 通用 的 加 密 策 略 , 例 如 前 面 讲 到 的 
IPSec, 使 用 这 样 的 检查 和 策略 来 保证 发 送 的 数据 等 于 接收 的 数据 。 保 护 数据 不 被 更 改 或 
破坏 ,可 以 用 类 似 反 病毒 这 样 的 简单 解决 方法 ,也 可 以 用 部 署 关 键 通路 存储 解决 方案 ,高 
可 用 性 的 防火 墙 簇 以 及 企业 范围 的 变更 管理 等 复杂 的 解决 方案 。 为 了 防止 非 授 权 使 用 或 
破坏 ,鉴别 和 授权 控制 是 最 合适 的 方法 。 

最 后 ,数据 可 用 性 也 是 需要 十 分 关注 的 。 数 据 可 用 性 的 目标 范围 是 根据 数据 可 用 的 
重要 性 而 变化 的 。 对 某 些 系统 需要 高 可 用 性 ,高 达 99. 999% ,而 有 些 系 统 可 用 性 要 求 就 
较 低 。 提 供 高 可 用 性 系统 保护 的 典型 方法 是 使 用 宛 余 系统 ,通常 包括 元 余 的 电源 .数据 访 
问 和 存储 、 网 络 以 及 应 用 服务 器 处 理 等 。 但 宛 余 并 不 能 满足 全 部 数据 可 行 性 问题 ,尤其 是 
近年 来 增多 的 拒绝 服务 (DOS) 和 分 布 式 拒绝 服务 (DDOS) 的 攻击 。 


_ 请 安全 基础 设施 的 设计 指南 


首先 ,设计 指南 中 最 重要 的 是 要 保证 企业 安全 策略 和 过 程 与 当前 经 营业 务 目标 相 一 
致 。 如 有 不 一 致 ,在 设计 和 构造 安全 基础 设施 之 前 ,应 对 这 些 策略 和 过 程 做 必要 的 修改 。 
如 果 设 计 指 南 没有 被 企业 的 最 高 管理 层 接 受 和 全 力 支持 ,那么 安全 设计 不 可 能 完全 达到 
它 的 功能 ,事实 上 有 可 能 因 缺 少 最 高 管理 层 的 支持 而 失败 。 

第 二 步 是 开发 一 个 计算 机 事故 响应 组 (Computer Incident Response Team, CIRT)， 
其 职责 是 在 安全 报警 事件 中 采取 必要 的 行动 和 预防 措施 。 为 了 使 响应 组 成 员 能 熟练 地 处 
理事 件 ( 如 安全 破坏 或 灾难 恢复 ) ,应 尽 可 能 多 地 进行 实际 培训 。 在 很 多 情况 下 ,把 它 当 作 
有 目的 的 测试 场景 ,在 那里 能 测试 CIRT 成 员 的 行动 在 给 定安 全 事件 下 的 响应 ,效率 、 完 
整 性 以 及 恢复 能 力 。 这 样 的 测试 目标 对 改进 CIRT 成 员 的 能 力 是 十 分 重要 的 。 

第 三 步 是 设计 基础 设施 安全 服务 以 直接 支持 指南 和 需求 。 这 些 服务 包括 鉴别 .授权 、 
账户 .物理 访问 控制 和 逻辑 访问 控制 。 对 安全 服务 的 设计 、 部 署 和 和 运行 应 遵循 专门 的 方 
法 。 它 定义 了 包括 评估 设计、 部 署 和 管理 4 个 步骤 的 生命 周期 。 在 评估 阶段 ,分 析 现 存 
的 经 营业 务 和 安全 需求 ,以 决定 大 部 分 实际 的 有 效 的 安全 解决 方案 现在 是 否 已 可 行 , 否 
则 必须 重新 设计 和 构造 。 在 设计 阶段 ,针对 评估 中 发 现 的 问题 ,设计 安全 解决 方案 。 部 署 
阶段 包括 安全 解决 方案 的 实施 和 设备 安装 。 最 后 是 管理 阶段 ,保证 安全 基础 设施 正常 运 
行 ,功能 正常 。 


1831 鉴别 


鉴别 服务 于 Internet 资源 、 外 联网 资源 .内 部 网 资源 的 用 户 , 相 应 于 它们 内 在 的 风险 ， 
需要 不 同 级 别 的 安全 。 内 部 网 用 户 愿 意 基于 他 们 登录 的 ID 自动 进行 身份 鉴别 ,而 对 外 联 
网 和 Internet 用 户 ,需要 使 用 赋予 的 硬件 或 软件 的 标记 和 个 人 标识 号 PIN 登录 。 
通用 的 鉴别 用 户 的 方法 包括 静态 用 户 名 (UID) 和 口令 、 强 的 两 因子 鉴别 ,一 次 性 口令 
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鉴别 以 及 单 点 登录 (Single Sign-On, SSO) 鉴 别 。 可 能 的 话 ,为 企业 部 署 至 少 两 种 鉴别 方 
法 的 组 合 ,用 于 需要 不 同 保护 级 别 的 不 同等 级 数据 。 对 给 定 类 别 的 数据 选择 合适 的 鉴别 
方法 是 十 分 重要 的 。 

最 普通 的 鉴别 方式 是 静态 UID 和 口令 的 组 合 。 因 为 静态 口令 不 能 经 常 更 改 , 因 此 提 
供 的 数据 保护 能 力 是 很 小 的 。 静态 UID 和 口令 的 组 合 不 能 成 功 地 抵御 很 多 方式 的 攻击 ， 
包括 回答 攻击 和 蛮 力 攻击 。 在 回答 攻击 中 ,假冒 者 从 以 前 的 鉴别 会 话 中 获取 UID 和 口令 
的 组 合 ,依靠 偷 得 的 UID 和 口令 给 鉴别 服务 器 回答 ,以 得 到 访问 权 。 在 蛮 力 攻击 中 ,攻击 
者 只 知道 UID, 或 使 用 一 个 默认 系统 账户 ,用 很 多 口令 和 已 知 UID 组 合 来 企图 登录 ,以 得 
到 访问 权 。 这 两 种 方式 的 攻击 都 广泛 使 用 ,从 而 前 弱 了 静态 方法 的 完整 性 。 由 于 这 个 原 
因 , 只 有 公共 数据 或 内 部 数据 的 访问 基于 静态 鉴别 方法 。 

对 更 高 等 级 的 数据 ,需要 更 严格 的 解决 方法 ,例如 ,可 使 用 强 的 鉴别 方法 和 一 次 性 口 
令 。 强 的 鉴别 方法 可 使 用 诸如 PIN 这 类 的 知识 因子 和 智能 卡 、 标 记 产 生 卡 ,标记 软件 程 
序 等 的 组 合 。 标 记 卡 或 标记 软件 程序 使 用 一 个 算法 产生 通常 有 6 个 数字 的 号 码 , 最 后 的 
口令 码 是 该 6 个 数字 码 和 PIN 的 组 合 。 智 能 卡 一 般 包含 标识 其 拥有 的 权利 的 信息 ,如 数 
字 ID 或 私 钥 。 虽 然 这 种 鉴别 方法 优 于 静态 方法 ,可 以 不 再 有 必要 用 一 次 性 口令 ,但 大 部 
分 标记 产生 卡 和 标记 软件 程序 利用 一 次 性 口令 ,使 用 一 次 后 就 不 再 有 效 了 。 很 显然 , 强 鉴 
别 和 一 次 性 口令 的 组 合 能 力 大 大 优 于 静态 UID 和 口令 的 组 合 , 它 既 不 会 受 回答 攻击 的 影 
响 ,也 不 会 受 蛮 力 攻击 的 影响 。 像 智能 卡 这 些 设备 , 当 若 干 次 非法 企图 后 会 自己 失效 , 因 
此 这 些 可 携带 的 卡 即使 丢失 或 被 偷窃 ,也 不 会 有 很 大 风险 。 

为 了 改进 使 用 静态 鉴别 方法 ,可 以 建立 一 个 口令 老化 的 过 程 ,规定 在 口令 使 用 一 定时 
期 后 必须 更 改 。 也 可 以 在 安全 策略 文档 中 规定 口令 加 强 的 需求 ,并 且 在 鉴别 服务 器 中 进 
行 设 定 , 大 部 分 操作 系统 支持 这 种 特性 。 

另 一 个 设计 鉴别 体制 时 需 考 虑 的 问题 是 选择 分 布 式 或 集中 式 的 鉴别 。 分 布 式 鉴别 在 
业界 是 最 流行 的 ,对 每 一 个 要 访问 的 系统 .用户 有 不 同 的 UID 和 口令 ,有 时 甚至 对 给 定 系 
统 访问 的 每 个 应 用 都 有 不 同 的 UID 和 口令 。 

与 上 述 方法 相反 的 是 单 点 登录 (SSO) 。SSO 准许 用 户 使 用 单一 账号 和 口令 的 组 合 来 
访问 企业 中 的 很 多 资源 。SSO 对 用 户 提供 方便 的 优点 是 显而易见 的 。 它 也 减轻 了 管理 
的 负担 ,管理 员 需 跟踪 的 账户 大 大 减少 ,由 于 用 户 忘记 自己 的 口令 而 需要 重新 设置 的 负担 
也 减轻 了 。 

然而 ,SSO 不 是 没有 一 点 麻烦 。 将 SSO 引入 环境 ,使 其 在 异 构 环 境 中 有 效 地 运行 需 
要 管理 员 付 出 新 的 努力 。 这 些 新 的 努力 包括 兼容 的 问题 .部署 和 功能 操作 的 问题 ,以 及 管 
理 的 问题 等 。 如 应 用 适当 的 智力 和 资源 解决 了 大 部 分 问题 ,引入 SSO 解决 方案 ,就 能 成 
功 地 处 理 大 部 分 企业 范围 的 鉴别 需求 。 


1832 授权 


授权 是 基于 一 个 人 或 一 个 组 的 标识 ,允许 或 拒绝 规定 的 特权 的 行为 。 授 权 应 从 应 用 
的 周围 世界 来 处 理 。 从 根本 上 讲 , 应 用 安全 是 所 有 努力 的 目标 。 这 些 努 力 包括 了 解 你 的 
应 用 ,以 及 如 何 和 客户 机 、 数 据 库 通信 ,以 及 其 他 服务 器 处 理 过 程 。 
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应 用 通常 使 用 一 个 静态 的 端口 集 以 及 和 其 他 实体 通信 的 协议 。 端 口 用 来 处 理 通信 的 
发 送 和 接收 。 决 定 使 用 什么 样 的 端口 和 什么 样 的 协议 。 有 了 这 些 信息 ,就 可 明白 在 使 用 
哪 一 种 应 用 会 话 方式 (例如 TCP 会 话 ) ,还 是 通过 没有 会 话 的 突 发 数据 的 应 用 通信 (例如 
UDP 或 HTTP)。 明 白 这 些 应 用 通信 类 型 以 及 如 何 通信 有 助 于 设计 有 效 的 .适当 的 授权 
控制 。 

对 应 用 功能 及 其 如 何 实现 有 了 很 好 的 了 解 后 ,下 一 步 是 决定 谁 应 该 在 什么 时 间 访 问 
哪些 数据 ,还 应 决定 谁 能 得 到 对 应 用 服务 器 .数据库 或 它们 常 驻 网 络 段 的 物理 访问 权 。 这 
样 就 能 防止 人 侵 者 得 到 访问 控制 。 将 应 用 访问 限制 在 特定 的 群体 和 一 天 中 的 特定 时 间 ， 
就 能 减少 受 攻击 的 可 能 。 

根据 赋予 的 资源 特权 将 用 户 分 成 组 ,通过 按 资源 将 用 户 分 组 的 方法 ,用 赋予 的 组 标签 
在 应 用 级 进行 授权 控制 来 控制 组 成 员 的 活动 。 这 样 的 策略 是 基于 角色 的 访问 控制 (role 
based access control，RBAC) 。 虽 然 RBAC 控制 很 好 ,适合 于 具有 大 量 用 户 和 大 量 公共 
或 内 部 数据 资源 的 服务 ,但 是 对 标 有 机 密 或 严格 限制 的 数据 保护 需要 更 严格 的 控制 。 基 
于 用 户 的 访问 控制 (User Based Access Control，UBAC) 是 根据 各 个 用 户 的 特权 而 不 是 
赋予 的 角色 来 决定 的 访问 控制 。UBAC 需要 对 每 个 用 户 分 别 进 行 鉴别 和 授权 。UBAC 
控制 从 其 本 性 看 可 提供 更 细 粒 度 的 控制 ,因为 它 直 接应 用 至 每 个 用 户 或 单个 实体 ,而 不 是 
组 或 多 个 实体 。 


1833 账户 


账户 管理 涉及 日 志和 行为 的 监控 ,事件 以 及 满足 某 些 条 件 引 起 的 报警 。 大 部 分 操作 
系统 能 配置 生成 账户 日 志 , 对 各 种 系统 里 发 生 的 事件 向 管理 者 发 出 报警 。 最 流行 的 操作 
系统 日 志 程 序 是 用 于 UNIX 系统 的 Syslog 和 用 于 Microsoft NT 的 NT 事件 日 志 。 
UNIX Syslog 或 NT 事件 日 志 设置 报警 ,在 日 志文 件 中 产生 报警 级 报 文 ,或 更 高 级 的 报 
文 。 然 而 ,情况 可 能 更 为 复杂 ,如 若干 个 相关 的 ,协同 的 ,不 一 样 的 事件 从 不 同 的 代理 源 发 
生 , 其 结果 是 发 出 更 严重 的 报警 信息 。 不 论 复杂 性 如 何 ,账户 管理 结果 都 能 提供 以 下 
信息 : 

。 操作 系统 使 用 的 详细 情况 ; 

。 应 用 使 用 的 详细 情况 ; 

。 Internet、 外 联网 或 内 部 网 的 活动 ; 

。 用 于 法 庭 分 析 的 数据 ; 

。 趋势 分 析 数 据 ; 

。 生成 报告 的 数据 。 

这 些 结果 对 企业 都 是 很 有 价值 的 。 除 了 提供 性 能 预测 和 趋势 分 析 之 外 ,这 些 事件 还 
能 确定 它 的 安全 轮廓 .标识 存在 的 或 可 能 的 威胁 。 操 作 系 统 事件 能 提示 安全 职员 下 列 情 
况 : 失败 的 登录 企图 、 企 图 得 到 根 或 管理 员 的 访问 文件 系统 是 否 已 被 安全 送出 。 

事件 的 时 间 界 限 和 事件 覆盖 的 范围 一 样 重要 。 当 管理 员 只 是 每 周一 次 用 人 工 方法 考 
查 事件 日 志 时 ,从 操作 系统 .关键 应 用 以 及 在 网 络 段 上 的 通信 监控 安全 事件 到 底 有 多 少 价 
值 呢 ? 当 管 理 员 周 期 地 考查 这 些 事件 日 志 ,查看 一 段 历 史 时 ,黑客 和 漏洞 的 跟踪 有 可 能 早 
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已 离开 了 ,一 些 关键 数据 也 可 能 已 被 取 走 。 

在 Internet 年 代 , 事 情 发 生得 很 快 。 即 使 是 黑客 新 手 也 可 能 用 大 量 黑客 工具 来 
攻击 企业 资产 。 这 些 新 手 从 专门 黑客 那里 得 到 好 处 ,裁剪 黑客 工具 对 企业 施加 严重 
的 破坏 。 
因此 ,不 仅 需要 连续 的 访问 和 鉴别 控制 ,还 需要 实时 的 事件 管理 和 入 侵 检测 (ID) 解 
决 方法 。 将 人 侵 检测 也 作为 账户 管理 解决 方案 的 一 个 组 成 部 分 ,因为 它 的 自然 特性 是 事 
件 检测 、 分 析 , 还 有 防止 ,十 分 类 似 于 事件 管理 的 目的 。 以 往 只 是 将 事件 管理 当 作 一 种 静 
态 搜集 信息 的 工具 ,在 这 里 将 事件 管理 作为 一 种 实时 安全 报警 机 制 。 


1834 物理 访问 控制 


物理 访问 控制 有 关 安全 基础 设施 的 组 件 , 和 其 他 安全 设施 一 起 减少 资源 滥用 的 效应 。 
物理 控制 的 操作 是 物理 的 。 

通用 物理 访问 控制 包括 标准 的 门 钥匙 、 钥 匙 卡 、 标 识 标志 、 安 全 照相 机 ,活动 传感器 、 
声 像 报警 .安全 警卫 和 系统 、 设 备 标签 等 。 使 用 这 些 组 件 的 方法 决定 了 物理 访问 控制 策略 
的 质量 。 企 业 安全 策略 和 过 程 文档 定义 的 操作 应 定义 如 何 保护 专门 等 级 的 数据 及 执行 的 
系统 。 这 些 过 程 还 应 陈述 在 灾难 事件 中 通知 相应 的 人 员 采 取 哪 些 行动 ,对 应 用 重要 的 数 
据 影 响 ,定义 相应 的 法 庭 过 程 以 及 如 何 降低 相关 的 风险 。 

除了 减少 安全 漏洞 的 风险 和 影响 外 ,服务 的 破坏 也 必须 计 入 物理 保护 策略 。 服 务 破 
坏 保护 策略 包括 正确 的 组 件 放置 以 及 宛 余 。 安 全 基础 设施 放置 和 宛 余 是 一 样 重要 的 。 例 
如 , 某 公 司 需 要 一 个 高 可 用 性 的 系统 和 数据 为 客户 服务 ,为 此 公司 需 安装 一 条 元 余 的 T-1 
电缆 接 到 提供 客户 服务 的 数据 中 心 ' 同 时 需要 安装 宛 余 的 UPS 设备 。 巾 于 施工 土建 工作 
量 较 小 ,施工 过 程 未 同 土建 安全 部 门 联系 。 但 这 种 疏忽 有 可 能 会 引起 水 . 电 等 事故 ,这 类 
事故 在 安装 物理 基础 设施 组 件 时 本 来 是 完全 可 以 避免 的 。 


1835 逻辑 访问 控制 


逻辑 访问 控制 是 所 有 安全 基础 设施 控制 中 最 引 人 注 目的 。 这 些 控制 包括 防火 墙 、. 路 
由 器 交换机、`VPN 和 应 用 层 控 制 ,用 来 限制 系统 和 网 络 的 使 用 。 如 前 所 述 ,逻辑 访问 控 
制 有 时 使 用 鉴别 和 授权 信息 来 决定 准予 或 拒绝 访问 。 另 外 ,这 些 决定 取决 于 正在 使 用 的 
端口 和 协议 。 这 些 控制 最 好 先 集中 在 应 用 上 ,然后 再 控制 低层 协议 。 

下 面 举例 说 明 ,假定 有 一 个 HealthApp 的 应 用 ,此 应 用 利用 端口 8111 上 的 TCP 和 
HealthApp 客户 通信 ,而 TCP8104 处 理 服务 器 对 服务 器 的 通信 。 首 先 需 明白 应 用 的 功 
能 ,而 不 是 一 开始 就 访问 控制 不 希望 的 端口 和 协议 。 在 本 例 中 , HealthApp 服务 器 和 其 
他 服务 器 通信 首先 执行 一 个 域名 系统 (DNS) 的 查找 来 发 现 要 同 它 通 信 的 服务 器 的 IP 地 
址 , HealthApp 服务 器 和 DNS 服务 器 之 间 的 DNS 询问 必须 是 允许 的 。 

在 本 例 中 ,下 一 步 是 对 不 是 和 HealthApp 应 用 相 联系 的 操作 ,拒绝 所 有 访问 控制 设 
备 ( 例 如 防火 墙 .路 由 器 、 交 换 机 ) 上 的 通信 ,并 对 应 用 进行 测试 。 这 样 以 应 用 为 目标 ,导出 
可 用 的 、 最 安全 的 逻辑 访问 控制 集 。 可 以 发 现 , 使 用 这 个 策略 是 保护 应 用 数据 及 其 执行 的 
系统 的 最 有 效 方法 。 
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逻辑 访问 控制 能 应 用 不 同 的 方法 来 限制 系统 和 网 络 的 使 用 。 对 应 用 访问 的 保护 , 俱 
辑 访问 控制 通常 使 用 在 应 用 本 身 。 基 于 鉴别 和 授权 准则 ,可 设计 成 明确 的 限制 或 允许 一 
定 用 户 或 用 户 组 的 访问 。 网 络 访问 控制 根据 试图 经 过 一 个 网 络 段 的 端口 号 和 协议 来 决定 
允许 还 是 拒绝 通信 。 很 多 防火 墙 . 路 由 器 交换 机 、VPN 网 关 和 ID 系统 可 以 根据 它 的 类 
型 (TCP、UDP 或 IPX), 源 ,目的 甚至 载荷 来 限制 通信 。 

逻辑 访问 控制 通常 最 后 使 用 入 侵 检 测 系统 ,包括 发 送 一 个 TCP RESET(RST) 分 组 
给 非 授 权 网 络 通信 的 发 送 源 。 这 个 RST 分 组 通知 发 送 源 (冒犯 者 ) 的 主机 该 数据 会 话 没 
有 接收 到 。 虽 然 这 个 冒犯 者 的 主机 可 能 继续 再 试 , 但 它 的 非 授 权 通信 经 过 给 定 的 网 络 段 ， 
入 侵 检测 系统 将 重新 设置 这 个 会 话 ,因此 阻止 了 该 通信 到 达 目 的 站 。 

实践 证 明 ,最 好 的 逻辑 访问 控制 实施 策略 是 包括 周边 的 建立 、 内 部 应 用 和 基于 网 络 的 
控制 .基础 设施 的 保护 。 周 边 的 建立 将 决定 哪些 系统 和 网 络 是 最 可 信 的 (内 部 的 ) ,哪些 系 
统 和 网 络 有 点 可 信 (DMZ) ,哪些 系统 和 网 络 根本 不 可 信 。 图 18-2 表示 建立 可 信 域 的 
模型 。 


图 18-2 可 信 域 的 模型 


设计 分 开 的 可 信 区 域 , 就 能 使 用 访问 控制 ,以 适合 不 同 可 信 区 域内 网 络 和 系统 的 经 营 
业务 的 目的 。Internet 需要 和 内 部 网 和 外 联网 不 同 的 访问 控制 水 平 , 不 仅 必须 选择 合适 
的 访问 控制 技术 ,还 必须 包括 基础 设施 的 正确 部 署 位 置 。 入 侵 检 测 系统 安装 在 周边 防火 
墙 内 和 防火 墙 外 结果 不 同 。 不 仅 重要 的 事件 及 其 内 容 不 同 ,而 且 使 用 的 数据 机 密 人 性 完整 
性 和 可 用 性 的 需求 也 不 同 , 事 件 着 重点 的 改变 也 相当 大 。 

当 实施 这 些 控制 时 ,应 尽 可 能 少 地 牺牲 企业 的 生产 力 和 利益 ,这 是 必须 考虑 的 因素 ， 
虽然 要 做 到 这 点 不 容易 。 
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184 密 钥 管理 基础 设施 / 公 钥 基础 设施 


支撑 性 基础 设施 是 能 够 提供 安全 服务 的 一 套 相 互 关联 的 活动 与 基础 设施 。 有 两 个 十 
分 重要 的 支撑 性 基础 设施 : 

。 密 钥 管 理 基础 设施 / 公 钥 基 础 设施 ,用 于 产生 、 公 布 和 管理 密 钥 与 证 书 等 安全 凭证 。 

。 检测 与 响应 ,用 于 预警 检测 ,识别 可 能 的 网 络 攻击 ,做 出 有 效 响 应 以 及 对 攻击 行 

为 进行 调查 分 析 。 

本 节 阐 述 密 钥 基 础 设施 与 公 钥 基 础 设施 (KMI/PKI) ,KMI/PKI 作为 一 种 支撑 性 基 
础 设施 ,其 本 身 并 不 能 直接 为 用 户 提 供 安 全 服务 ,但 KMI/PKI 是 其 他 安全 应 用 的 基础 。 
KMI/PKI 是 安全 服务 所 必需 的 组 件 , 其 体系 结构 依赖 于 其 支持 的 应 用 。 表 18-1 列 出 了 
不 同 用 户 类 型 对 KMI/PKI 的 需求 。 例 如 ,在 为 两 个 用 户 提供 端 到 端 加 密 隧 道 的 虚拟 专 
用 网 (VPN) 中 ,KMI/PKI 为 实现 认证 和 加 密 功 能 的 加 密 设备 提供 密 钥 和 证 书 , 还 为 用 户 
提供 密 钥 恢 复 服 务 以 及 证 书 查询 的 目录 服务 。 


表 18-1 KMI/PKI 支持 不 同类 型 的 用 户 服务 


用 户 类 型 KMI/PKI 服务 

VPN 密 钥 产生 证 书 管理 密 钥 恢复 目录 服务 
网 络 访问 控制 密 钥 产生 证 书 管理 增值 服务 目录 服务 
远程 访问 服务 密 钥 产生 证 书 管理 密 钥 恢复 目录 服务 
多 级 安全 密 钥 产生 证 书 管理 目录 服务 


与 其 他 基础 设施 解决 方案 不 同 的 是 ,KMI/PKI 将 它 的 安全 分 布 在 一 组 独立 的 组 件 
上 。 这 些 组 件 本 身 比 用 户 应 用 要 求 更 高 的 安全 性 ,以 保证 用 户 证 书 和 密 钥 的 安全 性 。 同 
样 , 基 础 设施 中 的 安全 策略 管理 .信息 保 障 的 水 平等 都 要 高 于 用 户 应 用 的 安全 级 别 。 


1841 KM/PK 服务 


为 了 减少 用 户 获 取 服 务 的 成 本 和 需 花 费 的 人 力 资源 ,要 求 将 提供 不 同 服务 的 支撑 性 
基础 设施 组 合 在 一 起 ,形成 一 个 能 为 用 户 提 供 多 种 服务 的 多 组 件 基 础 设施 。KMI/PKI 
支持 4 种 服务 ,其 中 每 一 种 服务 都 使 用 了 多 种 机 制 来 满足 用 户 应 用 对 安全 的 不 同 要 求 。 
前 两 种 服务 能 直接 支持 用 户 应 用 ,后 两 种 服务 是 用 户 应 用 正常 工作 所 必需 的 。 

第 一 种 服务 是 对 称 密 钥 的 产生 和 分 发 。 对 称 密 钥 的 产生 和 分 发 仍然 是 政府 部 门 、 金 
融 部 门 和 密 钥 管理 机 制 中 最 主要 的 部 分 。 尽 管 许多 应 用 正在 使 用 非 对 称 密 钥 管理 代替 对 
称 密 钥 管理 ,但 对 称 密 钥 管理 仍然 有 用 武之 地 。 对 称 密 钥 中 ,多 个 用 户 的 密 钥 的 产生 、 分 
发 和 管理 由 一 个 中 心 (可 能 是 一 个 用 户 或 一 个 独立 的 第 三 方 ) 完 成 。 在 应 用 对 称 密 钥 的 团 
体 中 ,一 个 成 员 在 其 密 钥 的 生命 周期 中 只 使 用 同一 个 密 钥 与 其 他 成 员 进行 保密 通信 。 

第 二 种 服务 是 支持 非 对 称 密 钥 技术 及 与 其 相关 的 证 书 管理 。 非 对 称 密 钥 通 常 使 用 数 
字 证 书 来 鉴别 公 / 私 钥 对 中 公 钥 部 分 的 真实 性 。 这 种 鉴别 很 重要 ,因为 非 对 称 密码 提供 的 
安全 服务 要 依赖 于 公 钥 用 户 确 保 公 钥 已 与 特定 的 用 户 绑 定 。 数 字 证 书 (X. 509 证 书 ) 恰 恰 
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能 将 公 / 私 密 钥 对 中 的 公 钥 部 分 与 其 拥有 者 的 身份 绑 定 在 一 起 ,并 使 用 密码 技术 保证 这 种 
绑 定 关系 的 安全 性 。 公 钥 基 础 设施 由 多 个 部 分 组 成 ,包括 组 成 基础 设施 的 组 件 、 使 用 并 操 
作 基 础 设施 的 人 员 .基础 设施 提供 的 服务 .基础 设施 运行 的 策略 以 及 对 公 钥 证 书 的 管理 。 
公 钥 基础 设施 可 以 产生 ,管理 数字 证 书 以 保证 数据 的 真实 性 、 完 整 性 及 不 可 否认 性 ,也 可 
产生 ,管理 密 钥 协商 证 书 以 保护 数据 的 机 密 性 。 

第 三 种 服务 是 目录 服务 。 通 过 目录 服务 ,用 户 可 获得 PKI 提供 的 公开 信息 ,如 公 钥 
证 书 、 相 关 基 础 设施 的 证 书 、 受 损 的 密 钥 信息 等 。 目 录 服 务 可 以 由 全 球 的 分 布 目录 集 提 
供 , 如 X. 500DMS(Defense Message System) ,也 可 以 由 单一 站 点 组 成 的 在 线 存 储 库 提 
供 。 目 录 服 务 一 般 与 PKI 结合 在 一 起 使 用 ,但 也 可 以 用 来 提供 其 他 服务 。 

第 四 种 服务 是 对 基础 设施 本 身 的 管理 。 基 础 设施 是 由 多 个 组 件 协同 工作 为 用 户 提供 
服务 的 ,这 种 分 布 特性 增加 了 对 KMI/PKI 的 功能 和 操作 上 的 要 求 。 同 时 应 用 安全 需求 
的 敏感 性 也 对 KMI/PKI 提出 了 更 多 的 安全 需求 。KMI/PKI 的 内 部 结构 也 受 其 支持 的 
应 用 的 影响 。 

KMI/PKI 能 支持 不 同 的 安全 应 用 ,这 取决 于 应 用 使 用 的 密码 技术 。 对 称 密码 技术 
一 般 保护 信息 在 传输 和 存储 中 的 机 密 性 ,如 传输 机 密 性 ,文件 加 密 、 密 钥 协 商 。 对 称 密 钥 
技术 与 其 他 机 制 相 结 合 也 可 保证 交易 过 程 中 数据 的 完整 性 和 真实 性 ,从 而 确保 交易 安全 ， 
如 鉴别 ,完整 性 、 不 可 否认 等 安全 应 用 。 与 对 称 密码 不 同 , 非 对 称 密码 技术 可 以 保护 信息 
在 传输 和 存储 中 的 完整 性 和 真实 性 ,如 鉴别 ,完整 性 和 不 可 否认 等 安全 应 用 。 公 开 密 钥 密 
码 技术 与 证 书 管理 相 结合 可 以 为 应 用 提供 全 方位 的 安全 服务 。 公 开 密 钥 密 码 技术 对 数据 
进行 加 密 .解密 的 速度 比较 慢 ,因此 一 般 都 使 用 对 称 密 码 算法 对 数据 进行 加 密 和 解密 。 


1842 KMI/PK 过 程 


KMI/PKI 包含 一 系列 过 程 。 这 些 过 程 需 要 正确 地 协同 工作 ,以 保护 用 户 服务 的 安 
全 。 这 些 过 程 列举 如 下 : 

Q@ 注册 。 在 系统 中 登记 已 经 过 认证 的 用 户 , 使 其 可 以 使 用 KMI/PKI。 

@ 申请 。 用 户 向 KMI/PKI 请 求 密 钥 或 证 书 。 

@ 密 钥 生成 。 由 基础 设施 的 一 个 组 件 产生 对 称 密 钥 或 不 对 称 密 钥 。 

印证 书生 成 。 将 用 户 的 信息 和 用 户 的 公开 密 钥 绑 定 在 一 个 证 书 中 。 

@ 分 发 。 通 过 一 种 安全 的 可 认证 方式 将 密 钥 和 证 书 分 发 给 用 户 。 

@ 审计 。 记 录 密 钥 和 证 书 的 位 置 和 状态 。 

@ 受 损 恢 复 。 通 过 一 种 可 验证 的 方式 将 无 效 的 密 钥 和 证 书 从 系统 中 删除 。 

@ 密 钥 更 新 。 以 一 种 安全 的 可 认证 方式 周期 性 地 更 新 密 钥 和 证 书 。 

@ 销毁 。 销 毁 失效 的 私 钥 。 

@ 密 钥 恢复 。 不 直接 访问 用 户 私 钥 的 复制 而 恢复 用 户 私 钥 的 能 力 。 

@ 制定 策略 : 定义 上 述 操作 的 应 用 需求 。 

@ 管理 : 运行 基础 设施 。 

@ 增值 PKI 过 程 。 提 供 一 些 可 增值 的 服务 ,如 备份 .时 间 惟 .公证 等 。 这 部 分 不 是 必 
需 的 。 
在 PKI 中 ,由 不 同 的 组 件 负 责 处 理 不 同 的 操作 。 上 述 的 操作 可 以 有 多 种 方法 进行 组 
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合 , 为 用 户 提供 安全 服务 ,具体 的 实现 方式 依赖 于 具体 的 应 用 和 用 户 愿 意 投 入 的 成 本 。 
KMI/PKI 的 整体 安全 由 各 个 操作 的 安全 性 构成 ,每 一 个 操作 都 面临 着 不 同 的 攻击 威胁 并 有 
相应 的 防范 措施 。 表 18-2 定义 了 4 种 KMI/PKI 服务 对 实现 每 一 个 操作 的 基本 要 求 。 


表 18-2 KMI/PKI 操作 


操作 证 书 ( 公 钥 ) 管 理 对 称 密 钥 管理 | 基础 设施 目录 服务 基础 设施 管理 
制定 N/A N/A N/A 定义 域 中 的 策略 以 及 执行 策 
策略 略 的 方法 
注册 | 在 系统 中 登记 合法 | 登记 经 过 认证 | 登记 有 权 更 新 目 | 向 基础 设施 中 增加 新 的 处 理 
用 户 的 可 以 申请 密 | 录 的 用 户 认证 操作 的 组 件 , 如 交叉 认证 
钥 的 用 户 
申请 与 | 。 证 书 中 信息 的 有 | 验证 申请 密 钥 | 验证 信息 请 求 。 验证 改变 信任 模型 的 过 程 
验证 效 性 请 求 。 接收 基础 设施 组 件 的 公 钥 
。 验证 密 钥 产 生 请 求 
。 接收 公 钥 
产生 。 产生 公 / 私 密 钥 对 | 产生 密 钥 向 目录 中 增加 |。 产生 根 公 /私密 钥 对 
。 产生 证 书 信息 。 产 生根 证 书 
。 产 生 基 础 设施 组 件 的 公 / 
私密 钥 对 
。 产生 基础 设施 组 件 的 证 书 
。 产生 交叉 认证 证 书 
分 发 。 向 用 户 提供 证 书 。 将 密 钥 发 送 | 向 用 户 提供 信息 | 。 通过 安全 的 途径 将 根 证 书 
。 验证 获取 证 书 的 用 给 用 户 提供 给 基础 设施 的 各 个 
户 是 否 具有 相应 的 | 。 将 密 钥 装 入 组 件 
私 钥 到 加 密 设 。 为 每 个 基础 设施 组 件 提供 
。 将 策略 批准 权威 备 中 证 书 
(PAA) 的 公 钥 证 。 确保 每 个 基础 设施 组 件 拥 
书 通 过 可 认证 的 有 公 钥 对 应 的 私 钥 
途径 发 送 给 用 户 。 通过 安全 的 方式 向 基础 设 
施 组 件 提供 域内 的 加 密 
参数 
受 损 。 对 失效 的 密 钥 提供 | 取消 所 有 使 用 | 修复 一 个 受到 攻 | 提供 整个 基础 设施 或 组 件 失 
恢复 失效 密 钥 列表 | 失效 的 密 钥 的 | 击 的 目录 效 或 遇 到 灾难 后 的 重建 步 又 
(CKL) 密码 设备 
。 对 处 于 有 效 期 内 的 
证 书 提供 在 线 认证 
机 制 
审计 “| 在 密 钥 和 证 书 整个 生 | 在 密 钥 的 整个 | 记录 何人 何 时 修 | 确保 对 基础 设施 的 组 件 的 操 
命 周 期 内 跟踪 其 位 置 | 生命 周期 内 跟 | 改 目录 中 的 信息 | 作 符 合 PAA 定义 的 策略 和 操 
和 状态 踪 其 位 置 和 作 流 程 
状态 
密 钥 | 适当 的 密 钥 恢复 机 制 | N/A N/A 根 签名 密 钥 可 能 需要 密 角 
恢复 恢复 
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续 表 
操作 证 书 ( 公 钥 ) 管 理 对 称 密 钥 管理 | 基础 设施 目录 服务 基础 设施 管理 
密 钥 | 。 新 证 书 密码 设备 的 密 | N/A 改变 根 密 钥 的 过 程 
更 新 | 。 新 密 钥 钥 更 新 
销毁 | 到 达 私 钥 使 用 期 限 后 | 达到 密 钥 使 用 | 将 信息 从 目录 中 | 到 达 基 础 设施 组 件 的 私 钥 使 用 
将 其 置 0 期 限 后 将 密 钥 | 删除 期 限 后 将 其 置 0 
置 0 
管理 | N/A N/A N/A 安全 地 使 用 基础 设施 组 件 和 运 
用 系统 策略 的 操作 步 又 


1843 用 户 和 基础 设施 需求 


1 用 户 需 求 

(1) 对 称 密码 

。 密 钥 的 来 源 应 该 是 可 信 的 、 权 威 的 .可 鉴别 的 ; 

。 在 分 发 过 程 中 应 该 对 密 钥 进行 保护 。 

(2) 非 对 称 密 码 

。 由 用 户 或 KMI/PKI 来 产生 公 / 私 密 钥 对 ; 

。 证 书信 息 是 准确 ,有 效 的 ,并 反映 了 与 可 识别 的 唯一 用 户 之 间 有 效 的 绑 定 关系 ; 

。 证 书 将 用 户 私 钥 对 应 的 公 钥 与 用 户 身 份 绑 定 在 一 起 ; 

。 可 信 基 础 设施 组 件 的 证 书 通过 可 鉴别 的 方式 传递 给 用 户 ， 

。 用 户 可 以 周期 性 检查 证 书 中 信息 的 有 效 性 ; 

。 KMI/PKI 只 为 在 策略 中 定义 的 经 过 认证 的 实体 (如 用 户 或 用 户 组 织 ) 提 供 数据 恢 
复 服务 ,例如 提供 私 钥 的 一 个 复制 。 


2 基础 设施 管理 需求 

(1) 对 称 密码 

。 确保 密 钥 产生 和 分 发 的 请 求 者 经 过 认证 ; 

。 密 钥 产 生 过 程 是 安全 ,强健 的 ; 

。 在 密 钥 分 发 过 程 中 保证 密 钥 的 安全 性 ; 

。 密 钥 只 分 发 给 经 过 认证 的 用 户 ; 

。 系统 要 对 密 钥 整个 生命 周期 进行 审计 (申请 产生 、 分 发 .使 用 .更 新 以 及 销毁 )， 

。 系统 要 将 失效 的 密 钥 从 系统 中 删除 。 

(2) 非 对 称 密码 

。 确保 证 书 申请 的 发 起 者 经 过 认证 ; 

。 产生 证 书 之 前 确保 证 书 申请 中 的 信息 与 用 户 的 实际 情况 相符 合 ; 

。 CA 要 保证 将 正确 的 公 钥 写 入 证 书 中 ; 

。 如 果 系 统 为 用 户 产生 公 钥 , 则 要 保证 密 钥 产生 的 安全 性 并 安全 地 传递 给 用 户 ; 

。 基础 设施 要 确保 其 证 书 的 完整 性 ,并 以 可 鉴别 的 .不 可 和 否认 的 方式 传递 给 用 户 ; 
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。 基础 设施 必须 周期 地 为 用 户 提供 证 书 撤销 信息 ; 

。 基础 设施 必须 保证 其 组 件 的 高 可 用 性 ; 

。 系统 对 密 钥 的 生命 周期 进行 审计 (申请 产生、 分 发 应用、 更 新 .撤销 和 归档 ); 
。 基础 设施 只 对 已 认证 的 用 户 或 用 户 组 织 提供 私 钥 的 恢复 机 制 ; 

。 基础 设施 存储 的 密 钥 要 使 用 密 钥 恢复 机 制 保护 密 钥 ; 

。 保证 恢复 的 密 钥 在 分 发 给 用 户 的 过 程 中 的 安全 。 

3 互 操作 需求 

注意 : 密 钥 管理 基础 设施 之 间 的 互 操作 性 并 不 保证 用 户 应 用 之 间 的 互 操作 性 。 
(1) 对 称 密码 

。 能 够 将 密 钥 和 密 钥 受 损 信 息 分 发 给 所 有 的 用 户 ; 

。 分 发 给 用 户 的 密 钥 格式 要 统一 ; 

。 对 所 有 用 户 的 密码 算法 和 初始 化 参数 一 致 。 

(2) 非 对 称 密码 

。 进行 交叉 认证 的 PKI 之 间 要 认证 各 自 的 策略 ; 

。 用 户 可 以 从 多 个 安全 域 中 获取 证 书 ; 

。 基础 设施 需要 支持 多 种 加 密 算法 ,用 户 可 以 选择 对 其 证 书签 字 的 算法 

。 统一 的 密 钥 和 证 书 格式 ,如 证 书 采用 X. 509 定义 的 证 书 格式 ; 

。 统一 用 户 使 用 的 算法 和 初始 化 参数 ; 


所 有 的 用 户 都 能 得 到 受 损 恢 复 信 息 。 


185 ”证 书 管理 


KMI/PKI 的 一 个 主要 功能 就 是 对 使 用 公 钥 的 应 用 提供 密 钥 和 证 书 的 产生 、 分 发 和 


管理 服务 。 在 KMI/PKI 的 分 工 中 ,PKI 的 目的 就 是 管理 密 钥 和 证 书 。 本 节 从 用 户 的 角 
度 出 发 介绍 PKI 的 功能 及 其 体系 结构 。 


为 了 给 各 种 基于 公 钥 的 应 用 提供 服务 ,PKI 的 组 成 包括 一 系列 的 软件 .硬件 和 协议 。 


PKI 的 主要 组 成 部 分 包括 证 书 授 权 (Certification Authority，CA) 注册 授权 
(Registration Authority，RA) 以 及 证 书 存储 库 (Certificate Repository，CR) 。PKI 管理 
的 对 象 有 密 钥 .证 书 以 及 证 书 撤 销 列表 (Certificate Revocation List，CRL)。 下 面 简要 介 
绍 这 些 组 件 。 
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。， CA。 被 一 个 或 多 个 用 户 信 任 并 负责 创建 ,分 发 证 书 , 操 作 CA 的 人 称 为 管理 员 。 
。， RA。 负 责 认证 CA 申请 证 书 的 用 户 身 份 的 实体 。RA 并 不 签发 证 书 ,一般 位 于 离 


用 户 比 较 近 的 地 方 。 完 成 RA 认证 用 户 这 项 任务 的 人 称 为 RA 操作 员 。 在 大 多 
数 PKI 中 ,完成 认证 用 户 身份 的 任务 一 般 由 分 散 的 、 离 用 户 较 近 的 局 域 注册 授权 
(Local Registration Authority，LRA) 完 成 。 
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。 CR。CA 发 布 证 书 和 CRL 的 地 点 。 存 储 库 有 多 种 实现 方式 ,包括 数据 库 、Web 服 
务 器 ,但 一 般 用 户 都 使 用 LDAP 协议 访问 目录 服务 。 

。 非 对 称 密 钥 。 非 对 称 密 钥 算法 中 需要 一 对 密 钥 ,一 个 用 来 加 密 、 签 字 ,一 个 用 来 进 
行 解密 、 验 证 。 密 钥 对 中 有 一 个 是 由 密 钥 拥有 者 秘密 保存 的 , 称 为 秘密 密 钥 ,另外 
一 个 由 密 钥 按 照 一 个 不 可 道 的 数字 函数 计算 得 到 ,并 可 公开 , 称 为 公开 密 钥 。 根 
据 数学 原理 ,由 公开 密 钥 不 可 能 推导 出 秘密 密 钥 , 所 以 公开 密 钥 不 会 影响 秘密 密 
钥 的 安全 性 。 

。 证 书 。 将 用 户 的 身份 信息 及 其 公 钥 用 一 种 可 信 的 方式 绑 定 在 一 起 的 一 条 计算 机 
记录 。 证 书 中 包括 签发 者 名 称 、 用 户 身份 信息 、 用 户 公 钥 以 及 CA 对 这 些 信 息 的 
签字 。 目 前 多 数 证 书 格式 都 遵循 ITU X. 509 标准 定义 的 证 书 格式 , 凡 符合 X. 509 
标准 的 证 书 称 为 X. 509 证 书 。 

。 CRL。 包 含 尚 处 于 有 效 期 内 、 但 证 书 内 的 用 户 身 份 信息 及 其 公 钥 的 绑 定 关 系 已 经 
失效 的 证 书 列 表 。CRL 由 CA 签发 ,CRL 可 以 通过 多 种 方式 发 布 ,如 发 布 到 目录 
服务 器 中 ,利用 Web 方式 发 布 或 通过 E-mail 方式 发 布 。 

同 其 他 PKI 相 联系 的 .处 于 不 同 保护 地 址 中 的 通信 实体 ,如 果 信 任 报 文 发 送 者 的 证 
书签 发 者 CA ,那么 可 以 对 报 文 发 送 者 的 证 书 进行 鉴别 。 如 果 用 户 相信 CA 能 将 用 户 身份 
信息 与 公 钥 正确 地 绑 定 在 一 起 ,那么 用 户 可 以 将 该 CA 的 公 钥 装 和 人 到 用 户 的 加 密 设备 中 。 
可 以 用 用 户 信任 的 CA 公 钥 验证 其 签字 的 ,并 且 不 在 CA 签发 的 撤销 列表 中 的 任何 证 书 
都 是 有 效 证 书 。 这 意味 着 用 户 可 以 从 该 证 书 中 解析 出 公 钥 ,并 相信 该 公 钥 确实 属于 证 书 
中 标明 的 用 户 。 

大 型 公 钥 基础 设施 往往 包含 多 个 CA , 当 一 个 CA 相信 其 他 的 公 钥 证 书 时 ,也 就 信任 
该 CA 签发 的 所 有 证 书 。 多 数 PKI 中 的 CA 是 按照 层次 结构 组 织 在 一 起 的 ,在 一 个 PKI 
中 ,只 有 一 个 根 CA ,在 这 种 方式 中 ,用 户 总 可 能 通过 根 CA 找到 一 条 连接 任意 一 个 CA 的 
信任 路 径 。 

在 采用 层次 结构 的 组 织 中 ,层次 结构 的 CA 组 织 方式 非常 有 效 ,但 对 于 内 部 不 采用 
层次 结构 的 组 织 以 及 组 织 之 间 , 则 很 难 使 用 层次 结构 的 CA 组 织 方式 。 解 决 这 个 问题 
的 一 个 很 通用 的 方法 是 ,将 多 个 CA 证 书 结构 内 受信 任 的 证 书 安装 到 验证 证 书 的 应 用 
中 ,大 多 数 商 用 浏览 器 中 包含 有 50 个 以 上 的 受信 任 的 CA 证 书 , 并 且 用 户 可 以 向 浏览 
器 中 增加 受信 任 的 CA 证书 ,也 可 以 从 中 删除 不 受信 任 的 证 书 。 当 接收 一 个 证 书 时 ,只 
要 浏览 器 能 在 待 验证 证 书 与 其 受信 任 的 CA 证 书 之 间 建 立 起 一 个 信任 链 路 ,浏览 器 就 
可 以 验证 证 书 。 

另 一 种 方法 是 双向 地 交叉 认证 证 书 。 采 用 交叉 认证 不 像 层 次 结构 组 织 CA 的 PKI 
那样 ,需要 在 CA 之 间 建 立 上 下 级 的 信任 关系 。 为 了 区 别 于 层次 结构 的 PKI, 采 用 双向 交 
叉 认 证 机 制 的 PKI 称 为 网 状 PKI。 层 次 结构 的 PKI 可 以 同 网 状 结构 的 PKI 组 合 在 一 起 。 
在 层次 PKI 与 网 状 PKI 之 间 进 行 互 操作 可 采用 桥 CA 的 概念 , 桥 CA 为 多 个 PKI 中 的 关 
键 CA 签发 交叉 认证 证 书 。 

不 论 是 采用 层次 结构 还 是 采用 网 状 结构 的 PKI, 签 字 的 验证 者 必须 建立 一 条 从 签字 
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者 到 验证 者 信任 的 CA 之 间 的 证 书 链 , 验 证 者 必须 验证 证 书 链 中 的 每 一 个 证 书 的 签字 ,并 
检查 该 证 书 是 否 已 经 撤销 ,如 果 证 书 链 中 的 每 个 证 书 都 是 有 效 的 ,那么 验证 者 可 以 确认 签 
字 者 的 公 钥 是 有 效 的 。 

不 使 用 证 书 链 对 证 书 进行 验证 的 方法 称 为 在 线 证 书 验证 。 在 线 证 书 验 证 的 过 程 
是 将 证 书 传 递 给 网 络 上 的 服务 器 ,让 该 服务 器 根据 其 验证 规则 来 实现 对 证 书 有 效 性 
的 验证 。 

图 18-3 表示 PKI 互 操作 中 的 分 层 信任 列表 与 网 状 方法 。 图 18-4 表示 基于 双向 交叉 
认证 、 桥 CA 和 在 线 状 态 检 查 互 操作 模型 的 PKI。 在 多 个 PKI 间 进 行 互 操作 的 方法 都 各 
有 其 优 缺 点 ,必须 仔细 考虑 选用 互 操作 方法 ,以 防 降低 系统 的 安全 性 。 


根 证 书 对 于 依赖 方 团体 是 
根 cA [CS 可 信 的 ， 依 束 方 自 可 信 窗 
的 ey 钥 开始 验证 证 书 链 中 的 所 
证 书 。 
例如 ,FORTEZZA 
用 户 | [用 户 
层次 
贪 方 的 可 信 公 导 
CC 依赖 方 接受 CA 签名 的 证 书 。 
这 些 CA 的 公 钥 出 现在 信任 
© HO ® ry 
例如 ， 多 数 带 有 信任 列表 
用 户 团体 1 |] 用户 团体 2] 的 浏览 器 
带 有 信任 列表 的 层次 
信赖 方 的 
相信 会 钥 
(C3) 依赖 方 接受 经 其 本 地 CA 签名 
的 证 书 .交叉 证 书 将 与 多 数 本 
地 CA 相连 。 
(C4) 例如 ， 加 拿 大 政府 的 PKI 
用 户 团体 3 | 用户 团体 4 
网 状 PKI 用 户 4 


图 18-3 PKI 互 操作 中 的 分 层 信任 列表 与 网 状 方法 


PKI 在 密 钥 和 证 书 的 产生 、 分 发 和 管理 中 起 着 关键 作用 , 密 钥 和 证 书 的 产生 、 分 
发 和 管理 是 实现 基于 公 钥 的 安全 服务 所 必需 的 。PKI 本 身 使 用 机 密 性 安全 服务 保护 
私 钥 在 存储 和 分 发 中 的 安全 性 ,使 用 完整 性 安全 服务 对 公 钥 进行 认证 ,PKI 对 公 钥 的 


数字 签名 保证 了 公 钥 与 证 书 中 的 用 户 身 份 信息 的 绑 定 关系 ,同时 确保 了 证 书 中 公 钠 
的 完整 性 。 
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(CN -要 CA E&Y 依 罩 方 的 可 信 公 钥 | 很 CA 为 各 方 签发 交叉 证 书 ， 
(A) 依 顿 方 自 各 证 书 链 的 根 开始 验 
Wy 的 四 汪汪 书 链 并 向 下 扩展 到 用 记 
UE o 
该 方法 有 时 被 认为 是 在 具有 联 
用 户 团体 1 | | 用 户 团体 2 三 人 盟 关系 的 成 员 之 间 获 得 PKI 互 
带 有 双边 交叉 证 书 的 层次 届 - 记 到 | 。“ 尝 作风 下 种 机 他。 
\、 依赖 方 的 可 信 公 钥 | 。 桥 CA 的 概念 允许 在 层次 PKI 与 网 
A 状 PKI 之 间 进 行 互 操作 : 桥 CA 不 
根 CA(CA) CN CN 是 根 CA， 而 只 是 CA 链 中 的 一 个 
中 介 。 
(c) (©) OO OB PWTiie. 
用 户 团体 1 用 户 团体 2 
桥 CA 


在 线 状态 响应 -一 依 牛 广 


证 书 

状态 CC CA) CO- -CN 在 线 状态 响应 | 人 

状态 要 求 和 “了 状态 响应 ” 构 上 与 CA 保持 独立 。 
用 户 团体 1 用 户 团体 2 依赖 方 


在 线 状态 校 验 


图 18-4 基于 双向 交叉 认证 、 桥 CA 和 在 线 状 态 检查 互 操作 模型 的 PKI 


i186 ”对称 密 钥 管理 


尽管 PKI 有 很 多 优点 ,正在 得 到 广泛 应 用 ,但 在 现实 世界 中 ,对 称 密 钥 管理 仍然 是 一 种 
重要 技术 。 很 多 现存 的 系统 唯一 地 使 用 对 称 密码 。 甚 至 随 着 非 对 称 密码 技术 应 用 的 不 断 发 
展 ,许多 新 出 现 的 应 用 ,例如 多 点 传送 ,将 仍然 要 求 安 全 的 对 称 密 钥 和 非 对 称 密码 系统 。 

在 对 称 密码 算法 中 ,加 密 密 钥 可 以 从 解密 密 钥 求 得 ,反之 亦 然 。 这 一 点 和 公 钥 密码 算 
法 不 同 ,从 加 密 密 钥 难 以 计算 出 解密 密 钥 。 在 大 多 数 对 称 密码 系统 中 ,加 密 和 解密 密 钥 是 
相同 的 ,这 要 求 发 送 者 和 接收 者 在 相互 传送 加 密 报 文 时 约定 一 个 密 钥 。 

如 果 密 钥 系 统 所 用 的 密 钥 管 理 很 脆弱 ,密码 算法 的 健壮 性 就 为 零 。 对 称 密 钥 应 用 要 
求 所 有 用 户 拥有 一 个 共同 的 安全 密 钥 ,正确 安全 地 分 发 ,管理 密 钥 会 十 分 复杂 和 昂贵 。 


1861 对 称 密 钥 管理 的 关键 因素 


对 称 密 钥 管理 的 许多 方面 对 于 维护 安全 都 是 至 关 重 要 的 。 对 称 密 钥 的 管理 涉及 整个 

的 密 钥 存活 期 ,必须 建立 密 钥 定购 产生、 分 配 、 存 储 、 记 录 、 销 毁 的 可 控 过 程 ,图 18-5 是 对 
称 密 钥 管理 活动 的 关键 因素 。 必 须 有 检测 受到 篡改 的 密 钥 以 及 使 系统 恢复 安全 的 方法 和 
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规定 ,并 能 有 效 地 确定 受到 的 危害 程度 。 


采购 过 程 =| 生产 过 程 


分 配 过 程 


1 
存储 一 | 保密 应 用 


图 18-5 对称 密 钥 管 理 活动 的 关键 因素 


中 定购 。 只 有 授权 的 个 体 才 允许 定购 密 钥 ,只 有 得 到 明确 授权 的 密 钥 才 可 以 定购 。 
定购 者 必须 具有 对 通信 网 络 管理 的 访问 权限 ,定购 密 钥 是 为 了 在 需要 密 钥 之 前 将 密 钥 分 
发 给 所 有 的 用 户 。 密 钥 管理 系统 将 保证 定购 者 具有 定购 密 钥 的 权限 以 及 接收 者 具有 接收 
密 钥 的 权限 。 

G@ 产生。 必须 在 安全 环境 中 产生 密 钥 以 防止 对 密 钥 的 非 授权 访问 。 对 于 特定 的 加 
密 算法 ,产生 过 程 将 能 产生 一 组 可 公认 的 密 钥 。 对 称 密 钥 通常 是 随机 的 比特 流 , 因 此 需要 
一 个 性 质 控制 过 程 保证 比特 流 的 随机 人 性。 

@ 分 配 。 对 称 密 钥 可 以 通过 可 信 的 人 或 一 些 保 护 技术 (如 抗 窜 扰 装置 ) ,以 物理 形式 
进行 分 发 。 对 一 些 非常 敏感 的 密 钥 ,可 以 使 用 两 人 控制 来 得 到 更 多 的 保障 。 然 而 ,这 些 技 
术 只 能 在 密 钥 的 存活 期 提供 最 小 的 保护 。 可 以 访问 密 钥 的 人 越 多 , 算 改 的 可 能 性 就 越 大 。 
因此 ,安全 分 配 的 目标 是 通过 良好 的 分 发 技术 将 密 钥 从 产生 器 通过 电子 手段 传送 到 用 户 
设备 。 公 钥 技 术 可 以 支持 良好 的 分 发 技术 ,允许 用 户 设备 产生 一 个 授权 的 会 话 密 钥 ,由 产 
生 器 传送 对 称 密 钥 。 

@ 存储 。 密 钥 在 等 待 分 发 给 用 户 或 偶然 使 用 时 ,必须 存储 起 来 。 当 一 个 连接 失败 
时 ,需要 有 一 种 机 制 来 保证 恢复 未 经 加 密 的 对 称 密 钥 的 存储 区 。 对 这 些 密 钥 的 保护 十 分 
关键 ,必须 安全 地 存储 。 以 物理 形式 分 发 的 密 钥 只 能 通过 严格 的 物理 和 人 员 安 全 性 进行 
保护 。 电 子 形式 的 密 钥 应 以 加 密 的 形式 进行 存储 ,同时 应 采取 物理 的 .人 员 的 和 计算 机 的 
安全 机 制 来 限制 对 密 钥 的 加 密 和 访问 。 

@ 保密 应 用 。 在 密码 系统 的 应 用 中 注入 密码 需要 一 个 保护 接口 ,在 接口 处 对 密 钥 进 
行 物理 保护 ,对 于 防止 密 钥 的 自 改 十 分 关键 ,因为 可 以 在 接口 处 对 密 钥 进 行 复制 和 替换 。 
尽管 注入 加 密 密 钥 只 需要 最 少 的 保护 ,但 对 于 相应 的 解密 密 钥 却 需要 非常 高 的 保护 来 限 
制 它 注入 的 频 度 。 

@ 销毁 。 可 以 有 多 种 可 能 的 介质 存放 对 称 密 钥 ,包括 纸 ( 例 如 手工 代码 本 、 密 钥 带 ) 
和 电子 器 件 ( 例 如 随机 访问 存储 器 (RAM) 、 电 子 可 擦 写 可 编程 只 读 存储 器 (EEPROM)、 
可 编程 只 读 存储 器 (PROM))。 由 于 对 称 密 钥 自 改 具有 能 够 恢复 以 前 加 密 的 通信 流 的 特 
性 ,所 以 密 钥 的 存储 期 不 能 长 于 必需 的 任务 执行 期 是 十 分 必要 的 。 在 密 钥 周期 结束 后 , 安 
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全 的 密 钥 必须 在 所 有 位 置 进行 销毁 ,包括 偶然 存储 及 伴随 的 电子 存储 等 。 

@ 自 改 。 对 称 密 钥 易 受 到 密 钥 自 改 的 攻击 (例如 物理 分 发 .大 规模 加 密 网 .长 加 密 周 
期 ), 因 此 密 钥 自 改 的 检测 和 恢复 是 十 分 关键 的 。 目 前 尚 无 完善 的 机 制 来 控制 密 钥 自 改 对 
网 络 造成 的 危害 。 安 全 密 钥 的 自 改 可 能 会 暴露 所 有 它 加 密 的 通信 流 , 使 假定 的 对 于 未 来 
通信 流 的 认证 失效 。 为 了 恢复 密 钥 的 自 改 ,需要 通知 每 一 个 用 户 并 提供 新 的 密 钥 。 但 对 
于 大 规模 的 加 密 网 ,这 种 方法 很 难 做 到 使 用 户 同时 得 到 通知 和 替换 密 钥 。 

@ 审计 。 必 须 采取 附加 的 机 制 来 跟踪 密 钥 的 整个 存活 期 。 有 效 的 审计 可 以 改进 对 于 
密 钥 的 跟踪 ,如 谁 得 到 授权 访问 密 钥 , 密 钥 在 什么 时 间 分 发 到 什么 地 方 、 密 钥 什么 时 候 销 毁 。 


1862 对 称 密 钥 技 术 的 优 缺 点 


1 对 称 密 钥 技术 的 优点 

。 通信 网络 中 的 每 一 个 人 可 以 尽 可 能 长 久 地 使 用 一 个 密 钥 ,在 安全 策略 允许 的 情况 
下 ,可 以 经 常 或 很 少 改变 密 钥 ; 

。 密 钥 在 本 地 产生 可 以 使 采购 的 分 发 的 问题 最 小 化 ,不 需要 和 中 心 权 威 机 构 通 信 ; 

。 对 称 密 钥 的 结构 相当 简单 ,主要 是 一 系列 随机 数 ; 

。 对 称 密 钥 处 理 通常 比 非 对 称 密 钥 处 理 要 快 得 多 ,在 很 多 情况 下 , 非 对 称 密 钥 用 于 
在 网 络 中 安全 地 向 其 他 用 户 分 发 对 称 密 钥 ; 

。 支持 网 状 的 点 对 点 的 操作 ; 

。 对 称 密 钥 限 制 对 特殊 密 钥 的 拥有 权 , 因 而 ,不 需要 额外 的 访问 控制 机 制 来 控制 谁 
和 谁 通信 ; 

。 对 称 密 钥 在 使 用 前 不 需要 广泛 地 确认 ; 

。 在 采购 和 分 发 路 径 中 需要 信任 的 人 更 少 ; 

。 非 授权 密 钥 的 产生 只 有 当 攻 击 者 使 某 人 替代 正确 密 钥 使 用 时 才 是 危险 的 , 它 自身 
是 没有 危害 的 。 


2 对 称 密 钥 技术 的 问题 

。 一 个 丢失 的 密 钥 将 会 危及 全 网 的 安全 ,从 而 要 求 更 换 每 一 个 用 户 的 密 钥 ; 

。 提供 有 限 的 密码 服务 (例如 没有 抗 否认 、 隐 含 认证 等 ); 

。 对 于 使 用 共同 密 钥 的 密码 系统 的 网 络 规模 有 一 个 上 限 ,很 难 扩展 到 大 的 团体 ; 

。 使 用 共同 的 对 称 密 钥 的 操作 员 人 数 越 多 , 密 钥 自 改 的 危险 就 越 大 ; 

为 了 对 付 可 能 的 危害 和 偶然 的 使 用 ,需要 产生 大 量 的 对 称 密 钥 ,这 些 密 钥 必须 被 

安全 地 传送 和 在 本 地 存储 ; 

。 分配 延 迟 使 得 密 钥 在 使 用 之 前 就 要 产生 并 分 发 出 去 ,所 以 在 延迟 时 间 较 长 时 ,会 
允许 对 于 密 钥 的 有 害 访问 ; 

。 网 络 必须 是 预先 确定 的 ,很 难产 生动 态 的 通信 网 络 ; 

。 密 钥 必须 在 所 有 时 间 保 密 ; 

。 对 于 每 一 次 会 话 通信 , 密 钥 的 存活 期 不 能 太 长 ; 

。， 没有 固定 的 方式 能 够 知道 谁 产生 了 密 钥 ; 

。 没有 后 向 的 通信 业务 保护 ,从 密 钥 周期 的 开始 ,任何 时 间 密 钥 受 到 的 危害 都 会 使 
使 用 该 密 钥 加 密 的 通信 业务 暴露 。 
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187 ”基础 设施 目录 服务 


基础 设施 目录 服务 是 通过 一 个 结构 化 的 命名 服务 ,提供 在 分 布 环境 中 定位 和 管理 资 
源 的 能 力 。 目 录 也 提供 对 这 一 分 布 信息 服务 中 所 表示 的 所 有 客体 的 访问 控制 。 目 录 的 设 
计 可 以 根据 客体 的 内 容 范围 和 服务 范围 进行 分 类 。 图 18-6 是 目录 服务 模型 , 它 提供 对 称 
及 非 对 称 密 钥 以 及 整个 企业 的 保密 性 、 完 整 性 ,标识 和 鉴别 的 管理 数据 。 


目录 用 户 


图 18-6 目录 服务 模型 


基础 设施 目录 服务 提供 了 信息 的 多 个 元 素 与 特殊 的 人 与 设备 相关 联 的 方式 。 这 一 关 
联 在 分 层 组 织 中 进行 管理 ,并 由 名 字 关 联 进行 索引 。 最 常见 的 例子 是 电话 短 支 持 地 址 和 
电话 号 码 的 名 字 解 析 关 联 。 在 分 布 式 网 络 环境 中 ,需要 管理 更 多 的 信息 ,要 求 更 通用 的 目 
录 功 能 。 


1871 基础 设施 目录 服务 的 特性 


基础 设施 目录 服务 具有 以 下 几 个 重要 特性 : 

。 定义 的 名 字 空 间 。 目 录 服 务 通常 调用 一 分 层 的 名 字 空 间 , 它 在 逻辑 结构 上 是 一 棵 
倒转 的 树 。 这 一 命名 格式 可 用 于 加 强 访问 和 减少 用 户 的 位 置信 息 。 可 以 使 用 
X. 500 的 可 辨别 名 、RFC 822 电子 邮件 的 命名 和 DNS 的 域名 。 

。 高 度 的 分 布 性 。 目 录 服 务 将 数据 可 靠 地 分 布 于 多 个 目录 ,不 管 它们 分 布 于 整个 企业 
还 是 位 于 一 个 局 域 环境 中 。 提 供 了 允许 信息 分 割 以 及 访问 约束 和 适时 的 访问 机 制 。 
此 外 ,通过 目录 服务 复制 数据 的 能 力 使 系统 能 更 好 地 抗 失效 和 保持 可 访问 性 。 

。 优化 的 数据 恢复 。 目 录 服 务 提供 了 根据 客体 的 个 体 属性 进行 搜索 的 能 力 。 该 设 
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计 支 持 很 高 的 读 写 运算 比 。 大 多 数目 录 产 品 假定 访问 目录 信息 库 中 99% 是 查找 
或 搜索 ,而 没有 改变 、 添 加 、 删 除 。 
基础 设施 目录 服务 能 提供 对 多 种 应 用 的 访问 。 一 些 重 要 的 访问 目录 应 用 如 X. 500 
目录 访问 协议 DAP 和 LDAP.、 电 子 邮 件 (S/MIMI V3) 和 以 Web 为 基础 的 访问 (http)。 
访问 目录 服务 的 客户 类 型 有 3 类: 
(1) 查询 客户 ,执行 对 用 户 信息 的 一 般 查询 。 
(2) 修改 客户 ,执行 查询 ,并且 能 执行 很 强 的 认证 绑 定 和 对 选 定 用 户 属性 的 修改 。 
(3) 管理 用 户 , 除 了 具有 修改 客户 所 有 的 重要 特性 外 ,还 允许 管理 用 户 项 和 操作 
信息 。 
图 18-7 从 目录 用 户 和 管理 者 的 角度 描述 了 目录 信息 库 (Directory Information Base， 
DIB) 的 逻辑 结构 。 目 录 服 务 定义 了 客体 、 属 性 和 相关 句法 的 关系 。 用 户 信 息 部 分 包括 关 
于 目录 客体 的 信息 ,这 些 信 息 对 DIB 的 访问 是 可 见 的 。DIB 的 操作 和 管理 部 分 包括 用 于 
跟踪 目录 操作 的 信息 元 素 , 如 访问 控制 信息 与 数据 复制 的 有 关 信 息 。 


查询 目录 信息 库 


查询 用 户 信息 
[~ 用 户 信息 


广 消息 ”电话 
位 置 


安全 管理 


修改 用 户 信息 


用 户 信息 
管理 系统 信息 
图 18-7 目录 信息 库 的 逻辑 结构 


目录 系统 是 一 组 定义 了 目录 信息 树 (Directory Information Tree，DIT) 如 何 构造 的 
规则 集合 ,定义 了 DIB 中 保存 的 特定 信息 类 型 以 及 用 于 访问 信息 的 句法 。 目 录 系 统 由 3 
部 分 组 成 ， 

(1) 类 ,所 包含 客体 的 集合 。 

(2) 每 一 客体 类 的 属性 , 某 类 客体 所 允许 的 属性 集合 。 

(3) 属性 句法 ,描绘 了 句法 形式 和 那 一 属性 使 用 的 匹配 规则 。 


1872 目录 服务 的 实现 考虑 


目录 服务 必须 具有 实际 的 性 能 特性 ,性 能 可 从 以 下 几 方 面 考虑 : 易 用 性 、 健 壮 性 、 服 
务 恢复 的 及 时 性 和 响应 速度 。 
易 用 性 是 指 系统 设计 和 提供 给 目录 用 户 的 工具 能 方便 使 用 ,如 单 击 、 指 向 .图 标 、 窗 
371 


ee 第 4 篇 网 络 安全 工程 IE 


口 ,和 脚本 和 状态 信息 等 。 

健壮 性 指 产 品 和 系统 的 可 靠 性 和 完整 性 ,并 根据 平均 失效 时 间 MTBF 和 平均 修复 时 
间 MTTR 来 说 明 。 

可 用 性 目标 是 提供 任何 目录 服务 要 1 周 7 天 、1 天 24 小 时 的 可 用 。 在 证 书 管理 中 ， 
在 需要 时 ,吊销 信息 的 操作 必须 可 用 。 

服务 的 恢复 涉及 单个 的 目录 存储 代理 (Directory Storage Agent，DSA) 为 达到 某 一 
操作 状态 从 客户 (和 别 的 附属 DSA) 到 另 一 DSA 之 间 转 换 的 恢复 时 间 。 如 果 DSA 在 战 
略 环境 中 ,不 应 超过 5 分 钟 ,在 战术 环境 中 应 小 于 1 分 钟 。 

对 于 响应 速度 的 战术 要 求 , 目 录 系 统 提 供 两 种 类 型 的 访问 特性 。 一 种 是 人 的 访问 要 
求 ,通过 人 机 接口 处 理 信息 的 获取 (例如 白 页 信息 )。 另 一 种 是 通过 特定 的 系统 函数 (例如 
在 报 文 转送 时 ,需要 名 字 到 地 址 的 解析 功能 ) ,这 一 接口 是 机 器 至 机 器 的 接口 。 上 述 两 种 
访问 都 有 性 能 要 求 ,但 是 ,它们 的 特征 和 表示 方法 却 差别 很 大 。 


188 ”信息 系统 安全 工程 


信息 系统 安全 工程 (Information System Security Engineering，ISSE) 的 含义 是 为 实 
现 客户 信息 保护 需求 而 进行 的 某 种 过 程 。ISSE 是 由 美国 国家 安全 局 发 布 的 (信息 保障 技 
术 框 架 (IATF)》3.0 版 本 中 提出 的 设计 和 实施 信息 系统 安全 工程 方法 。 图 18-8 表明 系统 
工程 过 程 的 主要 行为 ,也 反映 了 进程 中 各 行为 之 间 的 关系 。 箭 头 表明 各 行为 间 的 信息 流 
向 ,而 不 是 行为 的 顺序 或 时 限 。“ 有 效 性 评估 ”对 各 行为 的 产物 (产品 ) 进 行 评估 ,使 之 在 指 
定 的 环境 中 依照 质量 需求 标准 执行 功能 需求 并 以 此 确保 系统 能 够 满足 用 户 需求 。 


用 户 /用 户 代表 


图 18-8 系统 工程 过 程 
图 18-8 所 描述 的 系统 工程 行为 的 流程 是 按照 下 述 一 般 方 式 进行 的 : 挖掘 任务 或 业 


务 需求 ,定义 系统 功能 ,设计 系统 ,实施 系统 ,有 效 性 评估 。 该 系统 工程 的 过 程 执 行 原 则 
是 : 从 “解决 方案 空间 ”中 分 离 出 “问题 的 空间 ”。 问 题 空间 表示 “解决 方案 ”这 一 概念 的 约 
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束 条 件 、 风 险 .策略 和 一 些 界限 ( 值 )。 解 决 方案 空间 代表 了 在 开发 系统 以 满足 用 户 需求 时 
所 有 已 结束 的 行为 和 创造 出 的 产品 。 由 解决 方案 空间 所 代表 的 、 面 向 已 定义 的 或 一 致 的 
目标 的 系统 工程 行为 和 产品 在 开发 的 过 程 中 必须 不 断 地 接受 有 效 性 评估 ,并 确定 该 方案 
是 否 违 背 问 题 空间 所 形成 的 条 件 。 这 些 评估 是 对 问题 空间 和 解决 方案 空间 进行 必要 修正 
的 基础 。 从 解决 方案 空间 分 离 出 问题 空间 这 一 原则 允许 创造 并 且 定 义 与 既成 的 法 律 和 人 
为 制定 的 政策 保持 一 致 的 有 效 解决 方案 。 

ISSE 支持 系统 产品 的 开发 一 生产 一 销售 全 过 程 的 进展 、 验 证 和 确认 ,以 便 满足 用 户 
的 信息 保护 需求 。 同 时 ,ISSE 也 识别 和 接受 信息 保护 风险 并 对 其 进行 优化 。ISSE 行为 
主要 用 于 以 下 情况 : 描述 信息 保护 需求 ;根据 系统 工程 的 前 期 需要 产生 信息 保护 的 具体 
需求 ;在 一 个 可 以 接受 的 信息 保护 风险 下 满足 信息 保护 需求 ;根据 需求 ,构建 一 个 此 信息 
保护 需求 的 逻辑 结构 ;根据 物理 结构 和 逻辑 结构 分 派 信息 保护 的 具体 功能 ;设计 系统 用 于 
实现 信息 保护 的 结构 ;从 整个 系统 的 耗费 ,规划 和 执行 效率 综合 考虑 ,在 信息 保护 风险 与 
其 他 ISSE 问题 之 间 进 行 权衡 ;参与 涉及 其 他 信息 保护 和 系统 学 科 的 综合 研究 ;将 ISSE 
过 程 与 系统 工程 和 获取 过 程 相 结 合 ;以 验证 信息 保护 设计 方案 并 确认 信息 保护 的 需求 为 
目的 ,对 系统 进行 测试 ;根据 用 户 需 要 对 整个 过 程 进行 扩充 和 裁减 ,以 此 支持 用 户 使 用 。 

为 确保 信息 保护 被 纳入 整个 系统 ,必须 在 最 开始 进行 系统 工程 设计 时 便 考虑 ISSE。 
另外 ,要 针对 具体 的 情况 ,综合 考虑 信息 保护 的 目标 .需求 功用、 结构 .设计 ,测试 和 实际 
应 用 中 所 出 现 的 系统 工程 设计 情况 。 


1881 发 掘 信息 保护 需求 


系统 工程 过 程 运作 的 起 点 是 针对 用 户 需 求 .相关 策略 、 规 则 和 用 户 环境 标准 的 一 系列 
决定 。 系 统 工程 师 要 识别 所 有 的 用 户 及 其 与 系统 交互 的 本 质 ,识别 他 们 所 扮演 的 角色 、 承 
担 的 责任 以 及 在 该 系统 生命 周期 各 阶段 中 的 授权 。 需 求 由 用 户 产生 ,并 且 不 应 该 对 系统 
设计 与 执行 产生 过 度 的 约束 。 获 得 文档 是 过 程 中 的 一 个 必要 步骤 。 该 文档 通过 用 户 语言 
来 描述 工程 任务 或 期 望 的 性 能 .工程 现 有 性 能 缺陷 与 市 场 机 遇 、( 市 场 ) 环 境 以 及 如 何 利用 
系统 达到 任务 目标 和 获得 市 场 定位 。 

ISSE 首先 调查 用 户 需 求 ` 相 关 政 策 规则、 标准 以 及 系统 工程 所 定义 的 用 户 环境 中 的 
信息 所 面临 的 威胁 。 然 后 ,ISSE 识别 信息 系统 中 的 具体 用 户 和 信息 ,以 及 他 们 在 信息 系 
统 中 的 相互 关系 、 规 则 及 其 在 信息 保护 生命 周期 各 阶段 所 承担 的 责任 。 信 息 保护 应 当 允 
许 用 户 有 自己 的 观点 ,不 能 局 限于 特定 的 设计 或 者 应 用 。 

在 信息 保护 政策 和 安全 操作 概念 中 ,ISSE 应 该 使 用 通用 语言 描述 如 何在 一 个 综合 的 
信息 环境 中 获得 所 需要 的 信息 安全 保护 。 当 系统 发 现 需 要 这 种 信息 安全 保护 时 ,信息 保 
护 将 成 为 一 个 必须 同时 考虑 的 系统 模块 。 图 18-9 解释 了 系统 任务 、 威 胁 和 政策 如 何 影 响 
信息 保护 需求 以 及 如 何 进 行 分 析 。 

1 任务 的 信息 保护 需求 

我 们 必须 考虑 信息 和 信息 系统 在 一 个 大 型 任务 或 特定 组 织 中 的 作用 。ISSE 必须 考 
虑 组 织 元 素 ( 人 和 子 系统 ) 的 任务 可 能 受到 的 影响 , 即 无 法 使 用 所 依赖 的 信息 系统 或 信息 ， 
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任务 信息 


威胁 分 析 政策 


信息 保护 策略 


图 18-9 系统 任务 、 信 息 安全 威胁 和 政策 对 确定 信息 保护 需求 的 影响 


尤其 是 丧失 机 密 性 ,完整 性 、 可 用 性 ,不 可 否认 性 及 其 组 合 。 在 此 意义 上 ,ISSE 已 经 开始 
探讨 用 户 信 息 保 护 需求 问题 。 

信息 的 重要 性 众人 皆 知 ,但 是 人 们 往往 忽视 信息 保护 需求 。 要 发 现 用 户 信息 保护 需 
求 ,必须 了 解 遗漏 、 丢 失 或 修改 什么 信息 会 对 总 体 任 务 造成 危害 。ISSE 应 该 做 到 以 下 几 
点 : 帮助 用 户 对 自己 的 信息 管理 过 程 进行 建 模 、 帮 助 用 户 定义 信息 威胁 .帮助 用 户 确立 信 
息 保护 需求 的 优先 次 序 ,准备 信息 保护 策略 、 获 得 用 户 许可 。 

ISSE 提供 了 识别 顾客 需求 的 界面 ,以 确保 任务 需求 包含 信息 保护 需求 ,并 且 保 证 系 
统 功 能 包含 信息 保护 功能 。ISSE 将 安全 规则 、 技 术 、 机 制 相 结合 ,并 将 其 应 用 于 解决 用 户 
信息 保护 的 实践 需求 ,从 而 建立 一 个 信息 保护 系统 。 该 系统 包含 信息 保护 体系 结构 和 机 
制 ,并 能 够 依据 用 户 所 允许 的 耗费 ,功能 和 计划 获得 最 佳 的 信息 保护 性 能 。 

图 18-10 描述 了 一 个 分 层 的 结构 , 较 高 层次 的 需求 建议 在 较 低层 次 的 需求 基础 之 上 ， 
各 模块 的 需求 决定 于 它 在 结构 图 中 的 位 置 。 

ISSE 在 设计 信息 系统 时 必须 遵循 用 户 的 层次 设置 ,这 样 才能 使 整个 系统 的 性 能 达到 
预期 指标 。 信 息 和 信息 系统 在 支持 任务 方面 必须 满足 如 下 要 求 : 对 何 种 信息 记录 (机 密 
信息 、 金 融 信息 、 产 权 信 息 ,个 人 隐私 信息 等 ) 进 行 观察 更新、 删除 ,初始 化 或 者 处 理 ? 授 
权 谁 观察 .更 新 、 删 除 、 初 始 化 和 处 理 信息 记录 ?经 授权 的 用 户 如 何 履行 其 责任 ?经 授权 
的 用 户 使 用 何 种 工具 (文档 硬件、 软件、 固件 和 规程 ) 履 行 其 责任 ? 清楚 地 知道 个 人 发 送 
或 者 接收 的 一 则 消息 或 一 个 文件 具有 怎样 的 重要 性 ? 

ISSE 和 系统 用 户 将 精诚 合作 ,使 信息 系统 更 好 地 满足 用 户 总 任务 要 求 。 没 有 用 户 的 
参与 ,ISSE 很 难 做 出 满足 用 户 要 求 的 决定 。 


2 信息 管理 面临 的 威胁 
依照 ISSE, 技 术 层 面 的 系统 组 成 应 负责 识别 信息 系统 的 功能 和 它 与 外 界 系统 边界 的 
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任务 /商务 


体系 结构 


图 18-10 分 层 需 求 图 


接口 。 该 系统 组 成 要 明确 信息 系统 的 物理 边界 和 人 逻辑 边界 ,以 及 系统 输入 输出 的 一 般 特 
性 。 它 描述 系统 与 环境 之 间或 系统 与 系统 之 间 信 和 号、 能 量 和 物质 的 双向 信息 流 。 必 须 考 
虑 系统 与 环境 之 间或 系统 与 系统 之 间 信 和 号、 能量 和 物质 的 双向 信息 流 。 必 须 考虑 系统 与 
环境 之 间或 系统 与 系统 之 间 有 意 设 定 或 自行 存在 的 接口 。 其 中 ,针对 后 者 的 部 分 描述 涉 
及 环境 和 信息 系统 所 面临 的 威胁”。“ 威 胁 ” 指 某 些 人 采取 某 种 行动 ,引发 可 能 造成 某 个 
结果 的 事件 或 对 系统 造成 危害 的 潜在 事实 。 对 系统 威胁 的 描述 涉及 信息 类 型 .合法 用 户 
和 用 户 信息 、 威 胁 者 的 考虑 (能 力 、 意 图 、 自 发 性 、 动 机 、 对 任务 的 破坏 )。 


3 信息 保护 策略 的 考虑 

对 一 个 机 构 而 言 ,在 制定 本 组 织 的 信息 保护 策略 时 必须 考虑 所 有 现 有 的 信息 保护 策 
略 ,规则 和 标准 。 必 须 定义 下 面 的 信息 保护 最 重要 的 内 容 : 为 什么 需要 信息 保护 ”需要 
什么 样 的 保护 ?怎样 获得 保护 ? 

与 系统 工程 过 程 相同 ,一 个 机 构 必须 考虑 本 机 构 内 所 有 的 政策 ,规则 和 标准 。 必 须 定 
义 一 个 机 构 信 息 策略 的 以 下 最 重要 内 容 : 机 构 需 要 保护 的 资源 /资产 、 需 要 和 这 些 资 产 发 
生 关 系 的 个 人 的 角色 和 责任 (作为 可 操作 性 任务 的 一 部 分 ) 、 授 权 用 户 用 到 这 些 资 产 ( 有 信 
息 安 全 要 求 ) 的 合适 的 方法 。 

为 制定 一 个 有 效 的 信息 保护 策略 ,需要 设立 一 个 由 系统 工程 专家 、ISSE、 用 户 代 表 、 
权威 认证 机 构 设计 专家 组 成 的 小 组 。 该 小 组 的 成 员 要 共同 合作 ,保证 策略 的 正确 性 ,全 
面 性 以 及 和 其 他 现 有 策略 的 连续 性 。 

高 层 管理 机 构 要 颁布 信息 保护 策略 。 该 策略 必须 是 明确 的 ,应 该 使 下 级 机 构 易 于 制 
定 各 自 的 制度 ,并 且 便 于 机 构 所 有 成 员 的 理解 。 需 要 一 个 能 够 确保 在 机 构 内 部 实施 该 策 
略 的 流程 ,并 让 机 构成 员 认 识 到 ,如 果 不 实施 该 策略 将 会 出 现 怎样 的 后 果 。 尽 管 必须 依据 
具体 情况 的 改变 及 时 更 新 机 构 安全 策略 ,高 层 策略 却 不 应 经 常 变动 。 
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1882 定义 系统 功能 


1 目标 

在 系统 开发 的 系统 功能 定义 阶段 ,系统 工程 师 必 须 明 确 系统 要 完成 的 功能 ,该 功能 的 
实现 应 达到 什么 程度 ,以 及 系统 有 哪些 外 部 接口 。 系 统 工程 也 要 将 描述 系统 应 用 环境 的 
自然 语言 翻译 为 定义 接口 以 及 系统 边界 的 工程 图 表 。 

需求 到 目标 .目标 到 要 求 以 及 要 求 到 功能 的 各 翻译 环节 均 采用 工程 语言 。 系 统 工程 
师 将 使 用 工程 语言 来 描述 特定 的 目标 。 目 标 描述 能 够 通过 描述 系统 的 预期 运行 效果 而 满 
足 需 求 。 系 统 工程 师 必 须 能 将 目标 同 此 前 提出 的 需要 相 联 系 ,并 且 能 够 从 理论 上 加 以 解 
释 。 各 目标 都 有 一 个 描述 满足 该 目标 所 需 条 件 的 有 效 性 量度 (MoE)。 因 此 目标 描述 必 
须 明确 、 可 测 . 可 验证 。 当 所 有 的 需求 目标 得 以 实现 时 ,如 果 先 前 从 需求 到 目标 的 解释 正 
确 而 且 完整 ,这 些 需 求 便 得 以 满足 。 

信息 保护 目标 与 系统 目标 具有 相同 的 特性 ,都 具有 MoE, 而 且 对 信息 保护 需求 是 明 
确 的 ,可 测量 的 ,可 验证 的 ,可 跟踪 的 。 每 个 目标 的 基本 原理 必须 解释 为 : 信息 保护 对 象 
所 支持 的 任务 目标 ,驱动 信息 保护 目标 的 与 任务 相关 的 威胁 、 未 实现 的 目标 的 结果 支持 
目标 的 信息 保护 指导 或 策略 。 


2 系统 描述 /环境 

技术 系统 描述 本 系统 与 系统 边界 外 的 元 素 相互 作用 的 功能 与 接口 。 系 统 描述 应 当 包 
括 系统 的 物理 边界 和 逻辑 边界 ,以 及 系统 输入 输出 的 一 般 特 性 。 系 统 描述 包括 针对 信息 、 
信和 号、 能量 和 资源 在 系统 与 环境 之 间或 系统 与 系统 之 间 双 向 流动 的 描述 。 系 统 描述 应 当 
指出 为 完成 用 户 任务 所 需 的 信息 处 理 类 型 (例如 对 等 通信 ,广播 通信 ,信息 存储 一 般 访 
问 、 受 限 访问 等 )。 


3 要 求 

功能 要 求 由 父 目 标 处 继承 而 来 。 功 能 要 求 描 述 系统 需要 完成 的 任务 、 动 作 和 行为 。 
当 转 化 为 性 能 需求 时 ,目标 有 效 性 度量 则 定义 功能 需求 的 实现 程度 。 除 了 规定 系统 的 功 
能 ,接口 、 性 能 \ 互 操作 性 、 继 承 以 及 设计 需求 外 ,系统 工程 师 也 必须 与 用 户 共 同 决定 系统 
开发 和 升级 的 保障 要 求 。 保 障 要 求 影响 系统 设计 与 文件 归档 方法 ,并 使 用 户 确信 系统 除 
了 实现 开发 者 声称 的 功能 之 外 再 无 其 他 功能 。 这 里 的 保障 可 以 特 指 系统 的 性 能 要 求 ,也 
可 以 特 指 某 种 验证 并 确认 系统 可 靠 方法 的 处 理 要 求 (分 别 对 设计 和 适用 性 而 言 ) 。 为 确定 
一 套 能 够 满足 需求 并 代表 可 接受 的 风险 .生命 周期 成 本 和 进度 的 性 能 的 要 求 集 , 系 统 工 程 
师 在 为 一 套 要 求 或 其 他 要 求 进行 性 能 分 配 时 必须 进行 多 方面 的 权衡 考虑 。 性 能 要 求 的 典 
型 形式 如 下 : 质 ,多 好 ? 量 , 数 量 ? 每 个 系统 的 成 本 有 多 高 ? 适用 范围 ,适用 范围 有 多 大 ? 
合 时 性 ,使 用 频率 与 响应 度 如 何 ? 有 备 性 ,可 靠 性 、 可 维护 性 、 可 用 性 、 可 生产 性 。 

内 部 接口 ,外 部 接口 与 互 操作 性 要 求 是 可 能 产生 于 系统 成 员 之 间或 系统 与 环境 、 系 统 
与 系统 之 间 的 相互 作用 概念 的 重要 要 求 。 此 外 .政策 也 可 能 规定 某 些 接口 . 互 操作 和 设计 
要 求 。 为 实现 系统 功能 ,系统 工程 师 可 能 需要 依据 这 些 要 求 提 出 其 他 要 求 。 

当 明 确 所 有 要 求 之 后 ,系统 工程 师 必 须 同 其 他 系统 负责 人 商议 评估 这 些 要 求 的 正确 
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人 性、 完整 性 一致 性 . 互 依赖 性 .冲突 和 可 测试 性 。 正 确 解释 目标 的 要 求 应 既 不 苛刻 也 不 模 
糊 。 极 端 苛刻 的 要 求 是 不 合适 的 , 它 对 一 些 系统 性 能 要 求 太 高 ,并 可 能 修改 其 他 某 些 合理 
要 求 。 所 有 正确 的 要 求 都 必 不 可 少 , 并 且 它们 的 集合 足以 满足 用 户 需 求 。 各 种 要 求 必须 
是 一 致 的 。 对 用 户 、 客 户 或 开发 者 而 言 , 它 们 代表 同一 个 特定 事物 。 系 统 工程 师 必须 解决 
不 同 要 求 之 间 的 冲突 ,并 通过 与 其 他 系统 责任 人 进行 协商 的 方式 淘汰 和 修改 某 些 要 求 。 
除非 政策 规定 了 一 定 的 设计 方案 ,否则 要 求 应 当 与 系统 实施 保持 独立 。 用 户 应 该 区 分 要 
求 的 优先 级 。 在 发 生 冲 突 的 情况 下 ,可 以 在 必要 时 放弃 低 优先 级 的 要 求 ,以 缩短 时 间 、 降 
低 成 本 、 减 少 风 险 和 缩小 范围 。 尤 为 重要 的 一 点 是 ,由 于 需 满 足 的 要 求 是 系统 有 效 性 和 可 
用 性 的 基础 ,系统 负责 人 必须 在 这 些 要 求 和 要 求 特 性 上 取得 一 致意 见 。 


4 功能 分 析 

功能 由 要 求 决定 ,每 个 要 求 产 生 一 项 或 几 项 功能 。 由 于 对 要 求 和 功能 的 定义 不 同 , 初 
始 功 能 的 级 别 高 低 并 不 相同 。 功 能 分 析 的 主要 内 容 是 分 析 功 能 之 间或 功能 与 环境 之 间 的 
联系 。 

通过 图 表 描 述 功能 的 相互 联系 有 多 种 方法 。 最 简单 的 图 表 是 文本 功能 列表 。 它 通过 
习惯 性 的 缩写 .标号 .字体 来 描述 一 系列 功能 的 层次 结构 。 功 能 列表 对 功能 进行 命名 ,并 
且 描 述 其 定义 ,行为 、 何 时 被 调用 、 输 入 输出 。 开 发 最 简单 系统 时 ,系统 工程 师 可 能 只 需 功 
能 列表 就 足够 了 。 但 通常 情况 下 ,功能 列表 只 是 最 初级 的 功能 分 析 。 

由 于 功能 列表 具有 分 层 的 特点 , 它 也 可 以 是 一 个 树 型 结构 。 这 两 种 分 析 的 考虑 过 程 
要 求 系统 工程 师 考 虑 系统 集成 的 相应 程度 和 与 该 程度 对 应 的 功能 。 将 更 高 层次 的 功能 和 
继承 功能 视 为 一 组 ,使 它们 与 其 他 功能 保持 高 度 的 独立 性 。 这 是 定义 一 个 模块 化 结构 的 
部 分 工作 ,模块 化 结构 具有 连带 关系 (每 一 个 模块 或 子 系统 产生 一 个 系统 功能 ,该 系统 功 
能 由 紧密 联系 的 低层 功能 构成 ), 同 时 也 具有 弱 耦 合 结构 (各 模块 或 子 系统 之 间 在 很 大 程 
度 上 保持 相互 独立 )。 系 统 工程 师 必 须 在 连带 和 耦合 之 间 进 行 权 衡 , 模 块 化 系统 几乎 可 以 
与 独立 的 子 系统 一 样 定义 、 设 计 、 开 发 测试 移植 和 升级 。 通 过 权衡 可 以 产生 各 种 可 能 的 
系统 结构 。 这 样 便 导 致 了 子 系统 和 底层 组 件 的 可 视 化 。 这 些 组 件 和 子 系统 具有 各 自 的 
功能 。 

ISSE 将 使 用 许多 系统 工程 工具 来 理解 功能 ,并 将 功能 分 配给 各 种 信息 保护 配置 项 。 
ISSE 必须 了 解 信息 保护 子 系统 如 何 成 为 整个 系统 的 一 部 分 ,如 何 支持 整个 系统 。 


1883 设计 系统 


本 部 分 工作 要 求 一 个 受到 多 方 制约 的 工作 组 设计 系统 的 体系 结构 并 制定 具体 的 设计 
方案 。 系 统 工程 师 对 体系 结构 解决 方案 进行 分 类 并 识别 所 有 类 似 的 可 重用 方案 。 在 此 意 
义 上 ,系统 工程 师 可 以 组 织 一 个 负责 开发 具体 解决 方案 的 工作 组 。 该 工作 组 选择 可 用 于 
该 方案 的 产品 ,采用 结合 可 重用 方案 或 设计 新 方案 的 方式 设计 具体 的 体系 结构 解决 方案 。 

为 达到 应 用 目标 ,系统 必须 依赖 其 所 有 组 件 , 这 一 点 非常 重要 。 因 此 ,耗费 过 多 精力 
对 某 个 组 件 进行 优化 只 是 对 精力 和 资源 的 一 种 浪费 。 但 是 ,性 能 过 低 的 组 件 可 能 会 损害 
系统 整体 性 能 。 系 统 设计 必须 满足 包括 功能 性能、 接口 、 互 操作 和 设计 要 求 在 内 的 一 系 
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列 要 求 。 好 的 系统 设计 将 确保 该 系统 能 够 满足 客户 需求 。 


1 功能 分 配 

在 这 个 过 程 中 ,系统 工程 师 必须 明确 在 实现 其 功能 时 应 采取 的 物理 形式 。 他 们 可 以 
将 一 些 功 能 分 配给 软件 硬件、 固件 和 人 。 执 行 系统 功能 的 人 一 般 都 采用 确定 的 工作 程序 
与 书面 步 又 ,使 用 特定 的 可 用 软件 、 硬 件 与 固件 。 当 系统 功能 的 执行 需要 具备 一 致 性 时 
这 一 点 尤为 重要 。 因 此 ,一些 功 能 可 由 人 和 机 器 共同 完成 。 由 于 功能 被 分 配给 组 件 ,组 件 
必须 实现 相应 的 功能 和 性 能 要 求 ,并 且 不 超出 系统 规定 的 出 错 率 。 系 统 工程 师 必 须 明确 
各 种 体系 概念 以 及 依据 概念 分 配给 各 组 件 的 功能 与 要 求 ,并 同 其 他 系统 负责 人 对 概念 和 
物理 上 的 可 行 性 取得 一 致意 见 。 

在 此 意义 上 ,系统 工程 师 可 以 进行 方案 验证 、 集 成 和 制定 工作 系统 ,以 及 要 求生 效 的 
系统 验证 ,集成 和 有 效 性 测试 。 必 须 记录 达到 预期 效果 的 可 用 、 验 证 和 集成 测试 计划 并 将 
其 与 要 求 和 体系 结构 相 联系 。 系 统 工程 师 可 以 开始 针对 系统 设计 分 配 资金 .人 员 .工具 和 
时 间 资 源 ,为 系统 分 配 测试 细节、 生命 周期 支持 。 多 数 系统 需要 正式 的 结构 管理 (CM)， 
结构 管理 应 当 作 用 于 体系 结构 。 


2 初步 设计 

进行 系统 初步 设计 至 少 应 具备 两 个 先决 条 件 : 确定 并 且 一 致 的 系统 要 求 ; 结 构 管 理 
下 确定 的 体系 结构 。 一 旦 体系 结构 确定 ,系统 和 设计 工程 师 就 必须 确定 用 于 描述 开发 内 
容 的 规范 。 该 规范 必须 是 同 规定 的 需求 相应 的 ,完整 的 和 确定 的 。 规 范 的 细节 级 别 从 系 
统 级 到 组 件 级 。 应 当 在 初步 设计 评审 (Preliminary Design Review，PDR) 之 前 对 更 高 级 
规范 进行 制定 和 评审 。PDR 产生 用 于 调查 完备 性 、 冲 突 、 兼 容 性 (与 接口 系统 )、 可 验证 
性 .安全 风险 .综合 风险 和 可 验证 等 要 求 的 高 级 规范 。 初 步 设计 的 结果 是 分 配 系统 基线 
配置 。 

3 详细 设计 

详细 设计 产生 更 低层 次 的 产品 规范 .具体 的 工程 与 接口 控制 图 .原型 .具体 的 测试 计 
划 与 程序 和 具体 的 集成 供给 支持 计划 (Integrated Logistics Support Plan, ILSP)。 专 业 
工程 实践 .可靠 性 .可 维护 性 可用性、 质量 .安全 性 和 可 生产 性 均 能 够 提供 专家 水 准 的 具 
体 信息 。 这 些 信息 可 用 于 确定 资源 购买 或 资源 开发 的 内 容 与 方式 。 详 细 设 计 将 产生 系统 
关键 设计 评审 (Critical Design Review，CDR) 。 评 审 内 容 涉及 针对 完整 性 .冲突 .兼容 性 
(与 接口 系统 ) .可 验证 、 安 全 风险 、 集 成 风险 和 可 追踪 性 等 要 求 的 所 有 配置 项 的 具体 规范 。 


1884 系统 实施 


系统 实施 的 目的 是 为 所 设计 的 系统 开发 并 集成 其 全 部 组 件 。 紧 接 的 下 一 步 工作 是 对 
系统 进行 测试 和 验证 ,确定 系统 是 否 满足 要 求 。 在 测试 过 程 中 ,一 些 非常 底层 的 设计 工作 
(如 小 软件 模块 设计 ) 通 常 作为 系统 建造 工作 的 一 部 分 。 这 个 工作 也 包括 调查 生产 该 系统 
的 可 能 性 。 

系统 实施 行为 形成 一 个 系统 验证 调查 结论 。 它 为 所 建立 的 系统 遵循 系统 设计 要 求 并 
为 满足 任务 性 能 需求 提供 证 据 。 必 须 考虑 涉及 所 有 系统 工程 主要 功能 的 问题 ,并 且 确 定 
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其 相互 依赖 关系 或 进行 权衡 。 


1 采 办 

本 阶段 的 工作 必须 在 开发 还 是 购买 满足 设计 系统 细节 规范 的 组 件 这 二 者 间 做 出 决 
定 。 针 对 解决 方案 的 集成 选择 和 获得 ,可 用 产品 的 基础 是 所 选择 的 系统 设计 细节 。 这 些 
产品 是 采用 购买 .租用 还 是 借用 的 方式 ,决定 于 许多 已 知 因素 (组 件 价格 、 是 否 容易 获得 、 
形式 .是 否 合适 、 功 能 等 ) 或 未 知 因素 (在 特殊 系统 中 的 可 靠 性 .组 件 性 能 的 不 足 可 能 对 系 
统 性 能 造成 的 风险 ,该 组 件 将 来 是 否 可 用 或 可 被 替代 等 )。 在 正式 决定 开发 或 购买 之 前 ， 
系统 和 设计 工程 师 必 须 慎重 权衡 两 种 方式 的 利弊 并 进行 研究 。 


2 开发 

在 本 阶段 ,系统 开发 方法 已 经 被 转化 为 一 个 稳定 的 、 可 生产 的 、 性 能 代价 比 合理 的 系 
统 设计 实践 。 对 信息 系统 而 言 , 转 化 包括 所 有 产品 级 别 的 软件 ,硬件 或 固件 。 

一 旦 开发 出 或 购买 到 组 件 , 系 统 工程 的 下 一 步 工 作 就 是 组 织 建立 系统 。 在 此 之 前 需 
要 采用 相应 的 系统 设计 规范 对 各 系统 组 件 进行 测试 。 测 试 结束 便 可 以 开始 建立 系统 。 为 
避免 不 必要 的 麻烦 ,组 建 系统 时 应 遵循 生产 商 规范 。 

组 建 过 程 的 完成 将 对 后 续 工作 产生 重大 影响 。 如 果 系 统 组 建 正确 ,后 续 工作 将 能 精 
确 反 映 系 统 设计 和 工程 工作 的 正确 性 。 反 之 ,系统 将 无 法 按照 设计 意图 运行 ,无 法 实现 设 
计 和 任务 目标 。 


3 测试 

组 件 开发 出 来 后 ,必须 对 组 件 开 发 结果 进行 测试 。 在 定义 方案 之 后 ,系统 和 设计 工程 
师 要 写 出 测试 过 程 和 预期 的 测试 结果 。 设 计 工 程 师 要 进行 单元 测试 。 方 案 和 接口 验证 将 
保证 所 开发 的 组 件 能 够 正确 实现 其 功能 。 在 验证 和 综合 测试 过 程 中 ,必须 对 所 有 接口 进 
行 全 面 测试 。 

综合 测试 用 于 验证 较 高 级 的 系统 性 能 水 平 。 早 期 工作 应 尽 可 能 地 规定 系统 测试 所 需 
人 员 工具、 设备、 资金 资源 ,并 且 进 行 预 算 和 论证 。 在 预定 方案 中 集成 经 选择 ,购买 或 开 
发 的 产品 ,通过 测试 与 调整 获得 较 高 水 平 的 系统 功能 。 集 成 测试 可 能 导致 改变 系统 组 件 
重新 设计 。 系 统 功 能 测试 报告 用 于 记录 测试 成 功 或 失败 的 结果 。 集 成 是 为 用 户 提供 一 个 
全 面 的 集成 与 测试 ,并 能 够 确保 相应 的 设计 已 经 通过 验证 的 系统 。 

一 般 地 ,任务 需求 所 要 求 开 发 的 系统 应 该 具有 唯一 性 ,或 者 该 系统 将 用 于 某 未 知 或 难 
以 模拟 的 环境 。 此 时 ,除非 合同 中 的 承诺 条 款 承 认 实 验 室 环 境 下 的 系统 性 能 测试 结果 , 否 
则 必须 针对 实际 系统 进行 测试 。 这 种 情况 通常 与 某 个 政府 机 构 有 关 。 对 于 将 同一 系统 部 
署 于 某 个 已 知 和 可 模拟 环境 的 情况 ,在 生产 和 部 署 之 前 也 应 进行 仔细 测试 。 效 用 测试 和 
用 户 可 用 性 测试 不 一 定 完全 相同 。 但 是 ,满足 这 些 要 求 是 获得 用 户 认可 并 争取 到 下 一 份 
商业 订单 的 基础 。 

在 系统 验证 .系统 集成 和 系统 效用 测试 之 后 ,尤为 重要 的 是 针对 系统 的 安装 .操作 、 维 
护 和 支持 步 又 进行 归档 。 这 些 步骤 以 需求 ,体系 结构 .设计 和 针对 系统 建立 之 初 的 配置 所 
进行 测试 的 结果 为 基础 。 需 要 重点 指出 的 是 ,在 安装 过 程 中 必须 记录 异常 情况 ,并 且 注 意 
这 些 变 化 对 集成 和 效用 测试 以 及 操作 步骤 可 能 产生 的 影响 。 此 外 ,也 要 讨论 安装 过 程 中 
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的 变化 情况 对 系统 操作 支持 与 维护 可 能 造成 的 其 他 风险 。 


1885 有 效 性 评估 


在 评估 系统 效用 时 ,必须 检测 两 个 主要 的 因素 。 第 一 ,系统 是 否 达 到 了 任务 的 需求 ? 
第 二 ,系统 依照 任务 组 织 所 期 望 的 方式 操作 吗 ? 对 系统 功能 和 操作 来 说 ,可 能 有 些 预 期 要 
求 是 绝对 不 能 忽视 的 。 系 统 功能 和 操作 需求 是 系统 能 否 被 认同 所 要 考虑 的 主要 方面 。 除 
这 些 因 素 之 外 ,也 应 该 注意 可 能 影响 评估 结果 的 如 下 因素 : 互 操作 性 ,系统 能 正确 地 通过 
外 部 接口 共享 信息 吗 ? 可 用 性 ,对 用 户 可 供 使 用 的 系统 能 提高 任务 成 功 性 吗 ? 训练 ,用 户 
有 资格 操作 和 维护 系统 需要 的 指令 的 程度 ? 人 机 接口 ,用 户 出 现 错误 的 时 候 人 机 接口 能 
够 正确 协调 吗 ? 费用 ,建立 ,更 新 和 维护 系统 在 经 济 上 是 否 可 行 ? 


18.9 本 章 小 结 


一 个 安全 基础 设施 应 提供 很 多 组 件 的 协同 使 用 ,其 体系 结构 可 改进 整个 的 安全 特性 ， 
而 不 仅 是 各 个 安全 组 件 的 特性 。 安 全 基础 设施 的 主要 组 成 有 4 部 分 : 网 络 .平台 物理 设 
施 、 人 处理 过 程 。 

安全 基础 设施 设计 的 基本 目标 是 保护 企业 的 资产 。 保 护 这 些 资产 的 方法 是 适当 地 部 
署 各 个 安全 组 件 于 有 组 织 的 、 协 同 的 安全 基础 设施 中 。 根 据 选 择 的 数据 等 级 分 类 体制 ,每 
种 数据 保护 目标 应 按 数 据 机 密 性 、 完 整 性 和 可 用 性 来 表示 和 衡量 。 

安全 基础 设施 设计 指南 中 最 重要 的 是 要 保证 企业 安全 策略 与 过 程 和 当前 经 营业 务 目 
标 相 一 致 。 设 计 基 础 设施 安全 服务 以 支持 设计 指南 和 需求 ,这 些 安 全 服务 包括 鉴别 、 授 
权 、 账 户 ,物理 访问 控制 和 逻辑 访问 控制 ,应 分 别 采 取 适 当 的 安全 机 制 以 实现 这 些 安全 
服务 。 

KMI/PKI 作为 一 种 支撑 性 安全 基础 设施 ,其 本 身 并 不 能 直接 为 用 户 提供 安全 服务 ， 
但 是 其 他 安全 应 用 的 基础 。KMI/PKI 是 安全 服务 所 必需 的 组 件 ,其 体系 结构 依赖 于 其 
支持 的 应 用 。KMI/PKI 支持 4 种 服务 : 对 称 密 钥 的 产生 和 分 发 、 非 对 称 密码 技术 及 与 其 
相关 的 证 书 管理 .目录 服务 .基础 设施 本 身 的 管理 。 

公 钥 基础 设施 (PKI) 用 来 管理 密 钥 和 证 书 。PKI 主要 组 成 包括 证 书 授权 (CA) ,注册 
授权 (RA) ,证 书 存储 库 (CR)。PKI 管理 的 对 象 有 密 钥 .证书 以 及 证 书 撤销 列表 (CRL) 。 
大 型 公 钥 基础 设施 往往 包含 多 个 CA, 多 数 PKI 中 的 CA 是 按 层次 结构 组 成 的 。 桥 CA 
的 作用 是 为 多 个 PKI 中 的 关键 CA 签发 交叉 认证 证 书 。 

在 现实 世界 中 ,对 称 密 钥 管理 技术 仍然 是 一 种 广泛 应 用 的 重要 技术 。 密 钥 管理 是 对 
称 密 钥 技术 安全 性 的 关键 因素 。 对 称 密 钥 的 管理 涉及 整个 的 密 钥 存 活期 ,必须 建立 密 钥 
的 定购 .产生 、 分 配 、 存 储 ` 记 录 、 销 毁 的 可 控 过 程 。 

基础 设施 目录 服务 是 通过 一 个 结构 化 的 命名 服务 ,提供 在 分 布 环境 中 定位 和 管理 资 
源 的 能 力 。 基 础 设施 目录 服务 的 重要 特性 包括 定义 的 名 字 空 间 ,高 度 的 分 布 性 、 优 化 的 数 
据 恢 复 以 及 提供 对 多 种 应 用 的 访问 。 

380 


mam 第 18 章 安全 基础 设施 设计 原理 mm 


信息 系统 安全 工程 (ISSE) 是 为 实现 客户 信息 保护 需求 而 进行 的 某 种 过 程 。ISSE 是 
由 美国 国家 安全 局 发 布 的 (信息 保障 技术 框架 (IATF)》3.0 版 本 中 提出 的 设计 和 实施 信 
息 系统 安全 工程 方法 。ISSE 的 系统 工程 过 程 包括 挖掘 任务 或 业务 需求 .定义 系统 功能 、 
设计 系统 、 实 施 系统 以 及 有 效 性 评估 。 


习 题 

1. 安全 设计 是 (“) ,一 个 安全 基础 设施 应 提供 很 多 安全 组 件 的 ( ) 使 用 。 

A. 一 门 艺术 ,各 种 B. 一 门 科学 ,协同 

C. 一 项 工程 ,分 别 D. 艺术 .科学 和 工程 集成 于 一 体 , 协 同 
2. 安全 基础 设施 的 主要 组 成 是 (” )。 

A. 网 络 和 平台 B. 平台 和 物理 设施 

C. 物理 设施 和 处 理 过 程 D. 上 面 3 项 都 是 
3. 安全 基础 设施 设计 的 基本 目标 是 保护 ( ) 。 

A. 企业 的 网 络 B. 企业 的 资产 

C. 企业 的 平台 D. 企业 的 知识 财产 


4. 安全 基础 设施 设计 指南 应 包括 ( ) 。 
A. 保证 企业 安全 策略 和 过 程 和 当前 经 营业 务 目 标 一 臻 
B. 开发 一 个 计算 机 事故 响应 组 CIRT 
C. 设计 基础 设施 安全 服务 
D. 以 上 3 项 都 是 
5. 支撑 性 基础 设施 是 能 提供 安全 服务 的 一 套 相 互 关 联 的 活动 与 基础 设施 ,最 重要 的 
支撑 性 基础 设施 是 ( )。 
A. KMI/PKI B. PKI 以 及 检测 与 响应 
C. KMI/PKI 以 及 检测 与 响应 D. 以 上 3 项 都 不 是 
6. KMI/PKI 支持 的 服务 不 包括 ( )。 
A. 非 对称 密 钥 技术 及 证 书 管理 。 B. 对 称 密 钥 的 产生 和 分 发 


C. 访问 控制 服务 D. 目录 服务 
7. PKI 的 主要 组 成 不 包括 ( )。 
A. 证 书 授权 CA B. SSL 
C. 注册 授权 RA D. 证 书 存储 库 CR 
8. PKI 管理 对 象 不 包括 ( )。 
A. ID 和 口令 B. 证 书 
C. 密 钥 D. 证 书 撤 销 列表 
9. 下 列 基础 设施 目录 服务 的 特性 ( ”) 是 不 正确 的 。 
A. 优化 的 数据 恢复 B. 定义 的 名 字 空 间 
C. 高 度 的 集中 性 D. 提供 对 多 种 应 用 的 访问 


10. 信息 系统 安全 工程 ISSE 是 由 美国 国家 安全 局 发 布 的 (信息 保障 技术 框架 
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(IATF)》3.0 版 本 中 提出 的 设计 和 实施 信息 系统 ( )。 
A. 安全 工程 方法 B. 安全 工程 框架 
C. 安全 工程 体系 结构 D. 安全 工程 标准 
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19 音 
第 1 网 络 安全 管理 


本 章 要 点 : 

。 网 络 安全 管理 背景 一 一 典型 的 网 络 环境 ; 

。 网 络 安全 管理 过 程 及 其 步骤 ,包括 评审 整体 信息 安全 策略 ,评审 网 络 体 系 结构 和 
应 用 ,识别 网 络 连 接 类 型 .识别 网 络 特性 和 信任 关系 、 识 别 控制 区 域 . 实 施 和 运行 
安全 控制 措施 、 监 视 和 评审 实施 。 


191 ”网 络 安全 管理 背景 


政府 机 构 和 商业 组 织 的 信息 系统 绝 大 多 数 都 是 通过 网 络 连接 着 的 ,并 且 遍 及 全 球 的 
现代 网 络 应 用 (例如 电子 政务 和 电子 商务 ) 一 直 在 不 断 增 长 。 这 些 网 络 连接 可 能 在 组 织 内 
部 .不同 组 织 之 间或 组 织 与 公众 之 间 。 

公众 可 用 的 网 络 技术 的 迅猛 发 展 , 特 别 是 互联 网 和 建立 在 其 上 的 Web ,的确 为 商业 
和 在 线 公 共 服 务 带 来 了 极 大 的 机 会 。 但 同时 ,也 带 来 了 新 的 安全 风险 。 当 一 个 组 织 极 大 
地 依赖 于 信息 与 网 络 进行 业务 活动 时 ,信息 的 保密 性 、 完 整 性 、 可 用 性 、 不 可 否认 性 、 可 核 
查 性 真实 性 和 可 靠 性 的 丧失 或 网 络 服务 的 中 断 可 能 对 业务 运行 造成 不 可 忽视 的 负面 影 
响 。 因 此 ,保护 好 信息 和 网 络 ,管理 好 组 织 内 信息 系统 的 安全 是 一 项 迫切 的 关键 要 求 。 

图 19-1 示 出 了 一 个 在 许多 组 织 中 都 能 看 到 的 典型 网 络 构 造 场景 ,包括 内 联网 
(Intranet)、 外 联网 (Extranet)、 互 联网 (Internet)、 电话 网 (Phone Network)、 无 线 网 
(Wireless Network) 和 非 军 事 化 区 (Demilitarized Zone,DMZ) 。 

内 联网 是 一 个 组 织 在 其 内 部 使 用 和 维护 的 网 络 。 由 于 内 联网 位 于 组 织 的 场所 之 内 ， 
而 且 一 般 只 有 组 织 的 内 部 工作 人 员 才 能 在 物理 上 访问 到 内 联网 ,所 以 比较 容易 对 内 联网 
进行 物理 保护 。 在 多 数 情况 下 ,由 于 采用 的 技术 不 同 及 各 组 成 部 分 的 安全 要 求 不 同 , 内 联 
网 不 是 同 构 的 。 一 方面 ,有 些 关键 基础 设施 .例如 PKI(Public Key Infrastructure) ,需要 
比 内 联网 自身 更 高 保护 级 别 , 因 此 可 能 放 在 内 联网 的 一 个 专门 网 段 中 来 运行 。 另 一 方面 ， 
某 些 技术 如 WLAN(Wireless Local Area Network) ,会 引入 新 的 风险 ,因此 需要 进行 某 种 
隔离 。 对 于 这 两 种 情况 , 均 可 采用 内 部 安全 网 关 来 实现 上 述 分 割 。 

当今 多 数组 织 的 业务 都 需要 与 外 部 合作 伙伴 或 其 他 组 织 进行 通信 和 数据 交换 。 对 了 
最 重要 的 业务 合作 伙伴 ,通常 将 内 联网 直接 扩展 到 对 方 组 织 的 网 络 ,这 种 扩展 一 般 被 称 为 
外 联网 。 在 绝 大 多 数 情况 下 ,对 所 连接 的 外 部 合作 伙伴 的 信任 度 低 于 组 织 内 部 ,因此 需要 
使 用 外 联网 安全 网 关 来 降低 这 种 连接 带 来 的 风险 。 

如 今 公 共 网 络 ( 主 要 指 互 联网 ) 被 用 来 在 组 织 与 合作 伙伴 和 客户 (包括 公众 ) 之 间 提 供 
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图 19-1 典型 的 网 络 环境 


高 性 能 价格 比 的 通信 和 数据 交换 ,提供 各 种 形式 的 内 联网 扩展 。 由 于 公共 网 络 的 信任 度 
低 ,特别 是 互联 网 ,因此 需要 更 为 复杂 的 安全 网 关 来 管理 相关 风险 。 这 种 安全 网 关 含有 特 
定 模块 来 处 理 在 各 种 形式 的 内 联网 扩展 和 与 合作 伙伴 及 客户 连接 中 的 安全 要 求 。 

远程 用 户 可 采用 有 线 方式 或 无 线 方式 (例如 公共 WLAN) 经 由 互联 网 接 入 ,也 可 采用 
电话 拨号 经 由 电话 网 连接 到 通常 位 于 互联 网 防火 墙 DMZ 内 的 远程 访问 服务 器 (Remote 
Access Server)。 对 于 这 些 接 入 可 采用 VPN(Virtual Private Network ) 技术 实 现 安全 
连接 。 

当 一 个 组 织 决定 使 用 VoIP(Voice over IP) 技 术 实 现 内 部 电话 网 时 ,最 好 也 部 署 适当 
的 电话 网 安全 网 关 。 

这 种 典型 的 网 络 环境 中 所 采用 的 技术 在 许多 方面 为 组 织 业 务 提供 了 扩展 的 机 会 和 利 
益 , 例 如 减少 或 优化 成 本 ,但 同时 也 使 网 络 环境 变 得 复杂 ,并 常常 引入 新 的 信息 安全 风险 。 
因此 ,这 种 风险 应 得 到 适当 评估 ,并 通过 适当 的 安全 控制 措施 的 实施 来 减轻 。 也 就 是 说 ， 
应 平衡 新 环境 带 来 的 机 会 和 新 技术 引入 的 风险 。 

总 之 ,政府 机 构 和 商业 组 织 能 否 成 功利 用 现代 网 络 环境 带 来 的 机 会 ,取决 于 在 多 大 程 
度 上 管理 和 控制 这 种 开放 环境 中 的 运行 风险 。 


19.2 网 络 安全 管理 过 程 


在 考虑 网 络 连接 时 ,组 织 内 所 有 对 连接 负 有 相关 责任 的 人 员 都 应 清楚 业务 需求 和 利 

益 。 另 外 ,还 应 意识 到 这 种 连接 带 来 的 安全 风险 和 相关 的 控制 区 域 。 在 考虑 网 络 连接 、 识 

别 可 能 的 控制 区 域 以 及 最 终 选 择 ` 设 计 、 实 施 和 维护 安全 控制 措施 的 过 程 中 所 采取 的 许多 
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决定 和 行动 都 会 受到 业务 需求 和 利益 的 影响 。 因 此 ,在 整个 过 程 中 应 牢记 业务 需求 和 利 
益 。 为 识别 适当 的 网 络 安全 要 求 和 控制 区 域 , 应 完成 如 下 任务 : 


图 
描述 。 


评审 组 织 的 整体 信息 安全 策略 中 对 网 络 连 接 的 安全 要 求 ; 

评审 与 网 络 连接 相关 的 网 络 体系 结构 和 应 用 ,以 为 接 下 来 的 任务 提供 必要 的 
背景 ; 

识别 网 络 连接 的 类 型 ; 

识别 网 络 特性 和 相关 的 信任 关系 ; 

借助 于 风险 评估 和 管理 的 评审 结果 ,确定 相关 安全 风险 的 类 型 ; 

识别 与 网 络 连接 类 型 .网络 特性 ,信任 关系 和 安全 风险 类 型 相称 的 适当 的 控制 区 
域 ,同时 文件 化 和 评审 技术 性 安全 体系 结构 选项 ,并 确定 首选 项 ; 

实施 和 运行 安全 控制 措施 ; 

持续 地 监视 和 评审 安全 控制 措施 的 实施 。 

19-2 给 出 了 网 络 安全 管理 的 整个 过 程 。 过 程 中 的 每 一 步 在 接 下 来 的 各 节 中 详尽 


评审 整体 信息 安全 策略 | 
确 人 
定 | [区 网 络 体系 结构 和 用 
航 识别 网 络 连接 类 型 
景 1 
识别 网 络 特性 和 信任 关系 
评 1 
全 识别 安全 风险 ”|---| 评审 安全 风险 评估 和 管理 
给 1 
识 帮 识别 适当 的 控制 区 域 ， 
别 | | 文件 化 和 评审 安全 体系 
控 | | 结构 选项 并 确定 首选 项 
制 
实 | [实施 和 运行 安全 控制 措施 
施 | 瞩 TT 定期 或 当 有 重大 变化 ( 包 
和 | 括 业 务 需求 、 技 术 和 安全 
检 | [监视 和 评审 实施 解决 方案 等 ) 时 进行 评审 


图 19-2 网 络 安全 管理 过 程 


图 19-2 中 的 实 线 表 示 过 程 的 主 路 径 , 虚 线 表示 安全 风险 类 型 的 确定 可 能 借助 于 安全 
风险 评估 和 管理 的 评审 结果 。 
除了 过 程 的 主 路 径 外 ,在 某 些 步骤 中 需要 再 审视 前 面 步骤 (特别 是 “评审 整体 信息 安 


全 策略 ” 


"和 “评审 网 络 体系 结构 和 应 用 ”) 的 结果 以 确保 一 致 性 。 例 如 : 
在 确定 安全 风险 类 型 之 后 ,可 能 需要 再 次 评审 整体 信息 安全 策略 以 防 出 现 未 被 策 
略 层面 覆盖 的 情况 。 
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。 在 识别 可 能 的 控制 区 域 时 ,应 考虑 到 整体 信息 安全 策略 ,因为 可 能 会 有 因 策略 需 
要 的 特殊 控制 措施 要 在 组 织 内 全 面 实施 而 不 考虑 风险 。 
。 在 评审 安全 体系 结构 选项 时 ,为 确保 兼容 性 应 考虑 网 络 体系 结构 和 应 用 。 


193 ”评审 整体 信息 安全 策略 


组 织 的 整体 信息 安全 策略 包括 与 网 络 连 接 直 接 相关 的 对 保密 性 、 完 整 性 、 可 用 性 、 不 
可 否认 性 、 可 核查 性 、 真 实 性 和 可 靠 性 需求 的 陈述 ,以 及 对 威胁 类 型 的 观点 和 对 控制 措施 
的 需求 。 

例如 ,策略 中 可 能 规定 : 

。 主要 关注 特定 类 型 的 信息 和 服务 的 可 用 性 ; 

。 不 允许 通过 拨号 线路 进行 网 络 连 接 ; 

。 所 有 到 互联 网 的 连接 应 经 过 安全 网 关 ; 

。 应 使 用 某 种 特殊 类 型 的 安全 网 关 ; 

。 未 经 过 数字 签名 的 支付 指令 是 无 效 的 。 

这 些 适 用 于 整个 组 织 或 机 构 的 声明 、 观 点 和 要 求 , 应 在 识别 网 络 连接 的 安全 风险 ( 参 
见 第 19.7 节 ) 和 控制 区 域 (参见 第 19. 8 节 ) 过 程 中 被 考虑 到 。 如 果 有 任何 这 种 安全 要 求 ， 
应 列 入 可 能 的 控制 区 域 列表 中 ,并 在 必要 时 反映 在 安全 体系 结构 的 选项 中 。 


194 ”评审 网 络 体系 结构 和 应 用 


网 络 连 接 类 型 .网络 特性 、 信 任 关系 .安全 风险 和 控制 区 域 的 识别 ,以 及 安全 体系 结构 
和 控制 措施 的 设计 ,总 是 在 现 有 或 计划 的 网 络 体系 结构 和 应 用 的 背景 下 进行 。 因 此 ,应 获 
得 并 评审 有 关 的 网 络 体系 结构 和 应 用 的 详情 ,以 为 接 下 来 的 这 些 步 骤 提 供 背 景 和 理解 。 

对 网 络 和 应 用 的 体系 结构 做 尽早 考虑 ,可 以 为 评审 这 些 体系 结构 及 当 现 有 体系 结构 
与 可 接受 的 安全 解决 方案 发 生 冲 突 时 可 能 进行 的 修改 提供 充裕 的 时 间 。 

应 考虑 的 方面 包括 : 

。 网 络 类 型 ; 

。 网 络 协议 ; 

。 网 络 应 用 ; 

。 网 络 实现 技术 ; 

。 现 有 网 络 连接 。 


1 网 络 类 型 

根据 网 络 覆 盖 的 区 域 分 为 : 

。 局 域 网 (local area network,LAN) ,用 于 连接 本 地 系统 ; 

。 广域网 (wide area network,.WAN) ,用 于 连接 直至 世界 范围 的 系统 。 
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某 些 资 料 将 限制 在 一 定 区 域 ( 如 城市 ) 内 的 WAN 定义 为 城 域 网 (metropolitan area 
network, MAN)。 如 今 两 者 采用 相同 的 技术 ,所 以 MAN 与 WAN 已 没有 太 大 的 区 别 。 
另外 ,用 于 连接 个 人 系统 的 个 人 网 (personal area network,PAN) 在 这 里 被 归 类 为 LAN。 


2 网 络 协议 
不 同 的 网 络 协议 具有 不 同 的 安全 特性 ,应 加 以 特别 考虑 。 例 如 : 
。 共享 介质 协议 主要 用 在 LAN 中 为 连接 的 系统 使 用 共享 介质 提供 管理 机 制 。 当 共 
享 介 质 被 使 用 时 ,网 络 上 的 所 有 信息 都 可 被 所 有 连接 的 系统 访问 到 。 
。 路 由 协议 用 于 定义 信息 在 WAN 中 经 过 不 同 节 点 的 传播 路 径 。 信 息 能 被 沿路 的 
所 有 系统 访问 到 ,并 且 路 由 可 能 会 无 意 或 有 意 地 改变 。 
。 MPLSCmulti-protocol label switching) 协 议 可 使 多 个 专用 网 络 透明 地 共享 一 个 核 
心 运载 网 络 , 即 某 一 专用 网 络 的 成 员 意识 不 到 还 有 其 他 专用 网 络 在 共享 这 一 核心 
网 络 。 其 主要 应 用 是 VPN ,即使 用 不 同 的 标签 来 识别 被 分 离 的 属于 不 同 VPN 的 
传输 流 ( 注 意 : 基于 MPLS 的 VPN 与 基于 数据 加 密 机 制 的 VPN 不 同 ) 。 
许多 网 络 协议 不 提供 安全 性 。 例 如 ,在 公共 网 络 上 传输 未 加 密 的 口令 ,就 很 容易 被 攻 
击 者 使 用 从 网 络 流 中 获取 口令 的 工具 截获 。 
许多 协议 被 联合 使 用 于 不 同 的 网 络 拓扑 和 介质 ,并 使 用 有 线 和 无 线 技 术 。 在 许多 情 
况 下 ,这 更 进一步 地 影响 到 安全 特性 。 


3 网 络 应 用 

网 络 应 用 的 类 型 应 在 安全 背景 中 得 到 考虑 。 网 络 应 用 类 型 包括 : 

。 瘦 客户 端 型 的 应 用 ; 

。 台式 机 型 的 应 用 ; 

。 基于 终端 模拟 的 应 用 ; 

。 消息 传递 型 的 应 用 ; 

。 基于 存储 转发 的 应 用 ; 

。 客户 端 /服务 器 型 的 应 用 。 

关于 应 用 在 其 使 用 的 网 络 环境 下 ,其 特性 如 何 影响 安全 需求 ,举例 如 下 : 

。 消息 传递 型 的 应 用 可 能 提供 了 足够 的 安全 性 ,例如 对 消息 进行 加 密 和 数字 签名 ， 
因而 不 需要 在 网 络 上 实施 专门 的 安全 控制 措施 。 

。 瘦 客 户 端 型 的 应 用 可 能 需要 下 载 移动 代码 来 完成 适当 的 功能 。 在 这 种 背景 下 , 保 
密 性 可 能 不 是 主要 问题 ,而 完整 性 是 重要 的 ,因此 网 络 可 提供 适当 的 机 制 来 保护 
移动 代码 的 完整 。 如 果 有 更 高 的 安全 要 求 , 另 一 种 选择 是 对 移动 代码 进行 数字 签 
名 以 提供 完整 性 和 真实 性 。 这 通常 是 在 应 用 的 自身 框架 内 实现 ,因而 可 能 无 须 在 
网 络 内 提供 这 种 服务 。 

。 基于 存储 转发 的 应 用 通常 将 重要 数据 临时 存储 在 中 间 节 点 做 进一步 处 理 。 如 果 
有 完整 性 和 保密 性 的 需求 , 则 在 网 络 中 需要 有 适当 的 控制 措施 来 保护 传输 中 的 数 
据 。 然 而 ,由 于 数据 是 临时 存储 在 中 间 节 点 机 上 ,这 些 控制 措施 可 能 不 够 。 因 此 ， 
可 能 还 需要 另外 的 控制 措施 来 保护 存储 在 中 间 节 点 机 上 的 数据 。 
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4 网 络 实现 技术 
网 络 可 以 通过 各 种 技术 手段 来 实现 。 这 些 技术 手段 都 是 基于 网 络 所 覆盖 的 地 理 
来 进行 构造 。 网 络 实现 技术 包括 : 
(1) 局 域 网 技术 
小 型 LAN 通常 使 用 共享 介质 技术 。 这 种 情况 下 ,Ethernet 协议 是 使 用 的 标准 技术 ， 
并 已 经 被 扩展 以 提供 更 高 的 带宽 和 支持 无 线 环境 。 对 于 较 大 规模 的 LAN ,鉴于 共享 介质 
技术 (也 包括 Ethernet) 的 局 限 性 ,典型 的 WAN 技术 (诸如 路 由 协议 ) 也 经 常 被 用 于 LAN 
环境 。LAN 可 以 是 基于 有 线 的 ,也 可 以 是 基于 无 线 的 。 
。 有 线 LAN 通常 由 使 用 电缆 通过 网 络 交换 机 或 集线器 连接 的 节点 组 成 ,能 提供 高 
速 的 数据 传输 能 力 。 众 所 周知 的 有 线 LAN 技术 包括 Ethernet(IEEE 802. 3) 和 
令 牌 环 (Token Ring)(IEEE 802. 5)。 
。 无线 LAN 利用 高 频 无 线 电波 在 空中 传输 网 络 数 据 包 ,其 灵活 性 体现 在 无 须 铺设 
网 络 线路 便 可 快速 建立 。 众 所 周知 的 无 线 LAN 技术 包括 IEEE 802. 11 和 蓝牙 
(bluetooth ) 。 
(2) 广域网 技术 
WAN 可 以 使 用 自 有 电缆 和 /或 服务 提供 商 的 线路 ,或 者 通过 租用 远程 通信 提供 商 的 
服务 来 构成 。WAN 技术 可 以 长 距离 地 传输 和 路 由 网 络 流 , 并 提供 扩展 的 路 由 特性 将 网 
络 数 据 包 传送 到 正确 的 目的 LAN。 通 常 公共 的 物理 联网 基础 设施 用 于 LAN 的 互联 , 例 
如 ,租用 的 线路 .卫星 信道 或 光纤 。WAN 可 以 是 基于 有 线 的 ,也 可 以 是 基于 无 线 的 。 
。 有 线 WAN 通常 由 经 远程 通信 线路 连接 到 公共 或 私有 网 络 的 路 由 设备 (例如 ,路 
由 器 ) 组 成 。 众 所 周知 的 有 线 WAN 技术 包括 ATM、 帧 中 继 (frame relay) 和 
X. 25。 
。 无线 WAN 通常 使 用 无 线 电 波 在 空中 长 距离 ( 几 十 公里 或 更 长 ) 传 输 网 络 数据 包 。 
众所周知 的 无 线 WAN 技术 包括 TDMA .CDMA `GSM 和 IEEE 802. 16 。 


5 现 有 网 络 连接 

在 评审 网 络 体系 结构 和 应 用 时 ,还 应 考虑 组 织 内 外 的 现 有 网 络 连接 。 组 织 的 现 有 网 络 
连接 可 能 会 因 某 种 原因 (例如 协议 或 合同 ?限制 或 阻止 新 的 连接 。 其 他 网 络 连 接 的 存在 可 能 
会 引入 额外 的 脆弱 性 ,并 因此 面临 更 高 的 风险 ,从 而 可 能 需要 更 强 和 /或 附加 的 控制 措施 。 
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一 个 组 织 或 团体 可 能 需要 利用 的 网 络 连 接 有 多 种 类 型 。 一 些 连接 可 能 是 通过 限于 已 

知 团体 访问 的 私有 网 络 建立 的 , 另 一 些 可 能 是 通过 可 被 任何 组 织 或 个 人 访问 的 公共 网 络 

建立 。 这 些 网 络 连接 类 型 可 能 用 于 各 种 服务 ,例如 电子 邮件 或 电子 数据 交换 (electronic 

data interchange,EDI) ,可 能 利用 互联 网 .内 联网 或 外 联网 设施 ,每 种 情况 都 有 不 同 的 安 

全 考虑 。 每 种 连接 类 型 会 有 不 同 的 脆弱 性 和 相关 的 不 同 风险 ,因此 最 终 需 要 不 同 的 安全 
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控制 措施 。 

表 19-1 给 出 了 一 种 从 业务 角度 进行 网 络 连 接 类 型 划分 的 方式 。 应 考虑 有 关 的 网 络 
体系 结构 和 应 用 来 选择 合适 的 网 络 连接 类 型 。 由 于 从 业务 角度 而 非 技 术 角 度 划 分 网 络 连 
接 类 型 ,不 同 的 网 络 连接 类 型 有 时 可 能 由 类 似 的 技术 手段 实现 ,并 且 在 某 些 情况 下 所 采用 
的 控制 措施 是 类 似 的 ,但 在 其 他 情况 下 却 不 同 。 

表 19-1 网 络 连接 类 型 


标识 符号 连接 类 型 
A 在 一 个 组 织 的 单一 受 控 场所 内 的 连接 
在 同一 组 织 的 不 同 地 理 位 置 之 间 的 连接 
C 在 一 个 组 织 与 离开 该 组 织 场所 进行 工作 的 人 员 之 间 的 连接 


在 一 个 封闭 团体 (如 出 于 合同 或 法 律 上 的 约束 或 类 似 的 业务 兴趣 等 原因 ， 


例如 ,银行 或 保险 ) 内 不 同 组 织 之 间 的 连接 
E 与 其 他 组 织 的 连接 

F 与 一 般 公共 领域 的 连接 

G 从 一 个 耳环 境 到 公共 电话 网 的 连接 


19 6 识别 网 络 特 性 和 信任 关系 


1 网 络 特性 

应 识别 现 有 或 将 有 网 络 的 特性 。 识 别 如 下 网 络 特性 尤为 重要 。 

。 公共 网 络 : 可 被 任何 人 访问 的 网 络 ; 

。 私有 网 络 : 诸如 由 自 有 或 租用 线路 组 成 的 网 络 , 因 此 被 认为 比 公 共 网 络 更 安全 。 

知道 网 络 传输 的 数据 类 型 也 很 重要 ,例如 : 

。 数据 网 络 : 使 用 数据 协议 主要 传输 数据 的 网 络 ; 

。 音频 网 络 : 可 用 于 电话 但 也 可 传输 数据 的 网 络 ; 

。 数据 .音频 和 视频 组 合 网 络 。 

其 他 相关 信息 还 有 : 

。 网 络 是 组 交换 还 是 线路 交换 ; 

。 在 MPLS 网 络 中 是 否 支持 QoSCQuality of Service) 。 

2 信任 关系 

在 识别 出 现 有 或 将 有 网 络 的 特性 (至 少 识别 出 网 络 是 公共 的 还 是 私有 的 ) 之 后 ,就 应 

识别 相关 的 信任 关系 。 

首先 ,使 用 如 下 的 简单 列表 识别 与 网 络 连接 相关 的 适用 的 信任 环境 : 

。 低 : 诸如 与 未 知 用 户 团 体 连接 的 网 络 ; 

。 中: 诸如 与 已 知 用 户 团体 连接 或 在 有 多 个 组 织 的 封闭 业务 团体 内 连接 的 网 络 ; 
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"高 : 诸如 只 与 组 织 内 已 知 用 户 团体 连接 的 网 络 。 
其 次 ,将 相关 的 信任 环境 ( 低 、 中 和 高 ) 关 联 到 适用 的 网 络 特性 (公共 或 私有 ) 和 网 络 连 


接 类 型 (从 A 到 G) 来 建立 信任 关系 。 表 19-2 采用 和 矩阵 的 形式 完成 了 这 种 信任 关系 的 


建立 。 
表 19-2 信任 关系 的 识别 
信任 环境 

网 络 连接 类 型 一 

低 中 高 

公共 F、G DE Ba 

网 络 特性 

私有 E WE A.B.C 


由 表 19-2 可 以 确定 信任 关系 的 参考 类 别 , 如 表 19-3 所 示 。 
表 19-3 信任 关系 的 参考 类 别 


信任 关系 类 别 描 述 信任 关系 类 别 描 述 
低 /公共 低 信任 环境 并 使 用 公共 网 络 低 / 私 有 低 信任 环境 并 使 用 私有 网 络 
中 /公共 中 信任 环境 并 使 用 公共 网 络 中 /私有 中 信任 环境 并 使 用 私有 网 络 
高 /公共 高 信任 环境 并 使 用 公共 网 络 高 /私有 高 信任 环境 并 使 用 私有 网 络 


这 些 参考 类 型 应 被 用 于 确认 安全 风险 和 识别 控制 区 域 的 过 程 中 ,必要 时 辅 以 网 络 体 


系 结构 和 应 用 方面 的 可 用 信息 。 
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如 前 所 述 , 当 今 大 多 数组 织 依靠 信息 系统 和 网 络 的 使 用 来 支持 其 业务 运行 。 在 许多 


情况 下 ,对 于 网 络 连接 ,无论 是 在 组 织 场所 内 的 信息 系统 之 间 , 还 是 到 组 织 内 部 或 外 部 的 
其 他 场所 ,包括 到 一 般 的 公共 区 域 , 都 有 明确 的 业务 需求 。 当 组 织 连接 到 另 一 个 网 络 时 ， 
应 十 分 注意 不 要 将 该 组 织 暴露 在 另外 的 风险 中 ,避免 潜在 威胁 利用 这 一 连接 所 引入 的 脆 
弱 性 。 这 种 风险 可 能 源 自 网 络 连接 本 身 , 也 可 能 源 自 网 络 连接 的 另 一 端 。 
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有 些 风险 与 确保 法 律 和 规章 的 符合 性 有 关 。 特 别 需 要 关注 隐私 和 数据 保护 法 。 
值得 关注 的 安全 风险 类 型 包括 : 

。， 未 授权 访问 信息 ; 
。 未 授权 发 送信 息 ; 

。 引入 恶意 代码 ; 

。 否认 接受 或 发 起 ; 

。 拒绝 服务 连接 ; 

。 信息 和 服务 不 可 用 。 

当 组 织 面临 这 些 安全 风险 时 可 能 导致 如 下 安全 属性 的 损失 : 


"网 络 和 与 网 络 连接 的 系统 中 的 信息 和 代码 的 保密 性 ; 

， 网 络 和 与 网 络 连接 的 系统 中 的 信息 和 代码 的 完整 性 ; 

。 信息 和 网 络 服务 及 与 网 络 连接 的 系统 的 可 用 性 ; 

， 网 络 交 易 的 不 可 否认 性 ; 

。 网 络 交易 的 可 核查 性 ; 

。 信息 以 及 网 络 用 户 和 管理 员 的 真实 性 

。 网 络 和 与 网 络 连接 的 系统 中 的 信息 和 代码 的 可 靠 性 ; 

。 对 未 授权 使 用 和 挖掘 网 络 资源 的 可 控 性 。 

不 是 所 有 安全 风险 类 别 都 适用 于 所 有 场所 或 所 有 组 织 。 然 而 ,相关 的 安全 风险 类 别 
应 予以 识别 ,这 样 才能 识别 出 可 能 的 控制 区 域 ,并 最 终 选择 、 设 计 、 实 施 和 维护 控制 措施 。 

图 19-3 给 出 了 一 个 表示 安全 风险 类 型 在 哪里 发 生 的 网 络 安 全 概念 模型 。 


不 可 否认 性 | | 不 可 否认 性 
可 核查 性 | | 可 核 坦 人 
真实 性 窗 性 、 完整 性 、 真实 性 
| ee | 
| 1 2 1 Ts 1 | 
1 1 1 1 
1 | 数据 & 代 三 数据 & 代 码 | | 
| | 
终端 系统 | 1 | | 终端 系统 
& t=| 网 络 要 素 i & 
用 户 | | | | 用 户 
1 |! 
1 1 
| | | | 
管理 员 Se jr 管理 员 


鉴别 、 授权 和 访问 控制 
图 19-3 网 络 安全 风险 区 域 的 概念 模型 


应 收集 与 上 述 安 全 风险 类 型 有 关 的 业务 运行 方面 的 信息 ,同时 考虑 业务 所 涉及 信息 
的 敏感 性 或 价值 (以 对 业务 的 负面 影响 表示 ) ,以 及 相关 的 潜在 威胁 和 脆弱 性 。 值 得 强调 
的 是 ,在 完成 识别 安全 风险 这 项 任务 过 程 中 ,应 利用 针对 网 络 连接 进行 的 安全 风险 评估 和 
管理 的 评审 结果 。 这 些 结果 有 助 于 在 所 进行 的 评审 详细 程度 级 别 上 注视 与 上 述 安全 风险 
类 型 相关 的 潜在 的 负面 业务 影响 ,所 关心 的 威胁 和 脆弱 性 ,以 及 由 此 得 出 的 风险 。 
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基于 风险 评估 和 管理 的 评审 结果 ,加 上 针对 网 络 所 识别 的 安全 风险 (参见 第 19.7 节 )， 
应 从 本 节 和 ISO/IEC 27002( 即 ISO/IEC 17799) 中 识别 和 选择 可 能 的 控制 区 域 。 实 际 上 ,一 
个 特定 安全 解决 方案 可 能 包括 多 个 控制 区 域 。 
对 于 识别 出 的 控制 措施 ,应 在 相关 的 网 络 体系 结构 和 应 用 的 背景 下 进行 充分 的 评审 。 
在 进行 了 必要 的 适当 调整 后 ,作为 实施 所 需 安全 控制 措施 以 及 监视 和 评审 实施 的 根据 。 
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本 节 首先 回顾 第 5 章 已 论述 的 网 络 安全 体系 结构 ,然后 介绍 各 种 可 能 的 控制 
1981 网 络 安 全 体系 结构 


给 出 一 个 安全 体系 结构 参考 模型 有 助 于 : 

。 描述 支持 网 络 安全 规划 设计 和 实施 的 一 致 框架 ; 

。 定义 普遍 的 安全 相关 的 体系 结构 要 素 ,并 通过 适当 地 应 用 提供 端 到 端的 网 络 

安全 。 

基于 安全 体系 结构 参考 模型 来 描述 采用 不 同 现实 技术 以 满足 今天 和 未 来 需求 的 实际 
安全 体系 结构 是 有 益 的 。 

安全 体系 结构 参考 模型 中 描述 的 原理 适用 于 任何 类 型 的 现代 网 络 , 无 论 是 数据 、 音 频 
还 是 综合 网 络 ,无 论 是 有 线 还 是 无 线 网 络 , 并 且 能 够 独立 于 网 络 技术 或 协议 来 应 用 。 它 关 
注 网 络 基 础 设施 、 服 务 和 应 用 的 管理 控制 和 使 用 层面 上 的 安全 问题 ,提供 一 个 全 面 的 、 自 
上 而 下 的 、 端 到 端的 网 络 安全 视角 。 

安全 体系 结构 参考 模型 由 如 下 3 个 体系 结构 组 件 构成 : 

。 安全 维 (又 称 为 安全 控制 措施 组 ); 

。 安全 层 (又 称 为 安全 要 素 ); 

， 安 全 面 (又 称 为 安全 域 )。 

安全 维 是 一 组 用 来 处 理 网 络 安全 某 一 特定 方面 (包括 保密 性 、 完 整 性 、 可 用 性 ,不 可 否 
认 性 .可 核查 性 真实 性 .可 靠 性 和 可 控 性 ) 的 安全 控制 措施 。 

为 了 提供 端 到 端的 安全 解决 方案 ,安全 维 需要 应 用 到 网 络 设备 和 设施 分 组 的 层次 结 
构 上 , 即 安全 层 ,包括 : 

。 基础 设施 安全 层 ; 

。 服务 安全 层 ; 

。 应 用 安全 层 。 

安全 层 以 一 层 建立 在 另 一 层 上 的 方式 来 提供 基于 网 络 的 安全 解决 方案 , 即 基础 设施 
安全 层 支 撑 服 务 安全 层 , 服 务 安全 层 支 撑 应 用 安全 层 , 并 通过 有 层次 顺序 的 网 络 安全 视角 
来 识别 应 在 系统 中 的 哪里 实施 安全 控制 。 

基础 设施 安全 层 由 网 络 传输 设施 和 各 网 络 部 件 组 成 ,并 受到 实现 安全 维 的 机 制 保护 。 
基础 设施 安全 层 的 组 件 包括 路 由 器 、 交 换 机 和 服务 器 以 及 它们 之 间 的 通信 线路 等 。 

服务 安全 层 关注 于 服务 提供 商 为 其 客户 提供 的 服务 安全 。 这 些 安全 服务 从 基本 传输 
和 服务 连接 (类 似 于 提供 互联 网 访问 所 必需 的 服务 ,例如 ,鉴别 .授权 和 核查 服务 ,动态 主 
机 配置 服务 ,域名 服务 等 ) 到 增值 服务 (诸如 免费 电话 服务 .QoS 和 VPN 等 ) 。 

应 用 安全 层 聚 焦 于 服务 提供 商 的 客户 访问 网 络 应 用 的 安全 。 这 些 网 络 应 用 由 网 络 服 
务 支撑 ,包括 基本 的 文件 传输 (如 FTP) 和 Web 浏览 器 应 用 ,目录 辅助 .基于 网 络 的 音频 
通信 和 电子 邮件 这 样 的 基础 应 用 ,以 及 客户 关系 管理 .电子 /移动 商务 .基于 网 络 的 培训 、 
视频 协作 等 这 样 的 高 端 应 用 。 

安全 面 是 指 网 络 活动 的 类 型 ,并 受到 实现 安全 维 的 机 制 保护 。 安 全 体系 结构 参考 模 
型 定义 了 如 下 3 个 安全 面 来 表示 受 保护 网 络 活动 的 类 型 : 
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。 管理 面 ; 

。 控制 面 ; 

。 终端 用 户 面 。 

这 些 安全 面 分 别 关 注 于 与 网 络 管理 活动 、 网 络 控制 活动 和 终端 用 户 活动 相关 的 特定 
安全 需求 。 网 络 设计 应 尽 可 能 地 保持 属于 不 同安 全 面 的 活动 的 适当 独立 性 。 

实际 的 技术 性 网 络 安全 体系 结构 与 现实 网 络 所 采用 的 各 种 技术 密切 相关 ,包括 : 

。 局 域 网 (LAN); 
广域网 (WAN); 
无 线 网 1 (Wireless Network) IEEE 802. 11、 蓝 牙 ; 
无 线 网 2(Radio Network) 一 一 TETRA GSM、3G .GPRS CDPD 和 CDMA; 
宽带 网 (Broadband Network) 一 一 3G 电缆、 卫星 和 DSL; 
安全 网 关 (Security Gateway) 防火 墙 ; 
VPN(Virtual Private Network) ; 
远程 访问 服务 (Remote Access Service, RAS) 一 一 通过 互联 网 通信 ,拨号 IP 服务 ; 
IP 综合 (数据 .音频 和 视频 ) 一 一 VoIP; 
外 部 网 络 服务 访问 一 一 电子 邮件 、 互 联网 服务 ; 

。 Web 托管 服务 (Web Hosting Service)。 

通过 分 析 上 述 技术 背景 下 所 面临 的 安全 风险 ,选择 相应 的 安全 控制 措施 。 在 最 终 确 
定 要 实施 的 控制 措施 之 前 ,应 将 技术 性 网 络 安全 体系 结构 全 部 形成 文件 并 完全 达成 一 致 


1982 网 络 安全 控制 区 域 


1 安全 服务 管理 框架 

任何 联网 的 一 个 关键 安全 要 求 应 有 发 起 和 控制 安全 实施 和 操作 的 安全 服务 管理 活动 
的 支持 。 这 些 活动 将 确保 组 织 或 团体 的 信息 系统 所 有 方面 的 安全 。 就 网 络 连接 而 言 , 管 
理 活动 应 包括 : 

。 定义 所 有 与 网 络 安全 相关 的 责任 ,指定 负 有 全 面 责任 的 一 个 安全 管理 者 ; 

。 建立 文件 化 的 网 络 安全 策略 及 其 相关 的 技术 性 安全 体系 结构 ; 

。 编制 文件 化 的 安全 操作 规程 ; 

。 进行 安全 符合 性 检查 ,包括 安全 测试 ,以 确保 安全 性 维持 在 所 要 求 的 水 平 ; 

。 为 网 络 连接 制定 文件 化 的 安全 条 件 , 用 于 在 允许 与 外 部 组 织 或 人 员 进 行 连接 时 

遵守 ; 

。 为 网 络 服务 的 使 用 者 制定 文件 化 的 安全 条 件 ; 

。 制定 文件 化 并 经 过 测试 的 业务 持续 性 /灾难 恢复 计划 。 

2 网 络 安全 管理 


任何 网 络 的 管理 应 在 安全 的 方式 下 进行 ,并 提供 对 全 面 的 网 络 安全 管理 的 支持 。 为 
此 ,需要 充分 考虑 不 同 的 可 用 网 络 协议 和 相关 的 安全 服务 。 
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网 络 安全 管理 需 考虑 如 下 方面 : 

。， 联网 要 素 ,包括 网 络 有 用户、 网络 终端 系统 、 网 络 应 用 、 网 络 服务 和 网 络 基础 设施 ; 

。 角色 及 其 责任 ,包括 高 级 管理 .网 络 管理 .网 络 安全 组 、 网 络 日 常 管理 员 、 网 络 用 户 
和 审核 员 ( 内 部 的 和 /或 外 部 的 ); 

。 网 络 监视 ; 

。， 网 络 安全 维持 ,包括 及 时 打 安 全 补丁 ,定期 审核 安全 控制 措施 (包括 安全 测试 、 漏 
洞 扫描 等 ), 以 及 评价 新 的 网 络 技术 的 安全 性 。 


3 技术 脆弱 性 管理 

与 其 他 复杂 系统 一 样 ,网 络 系统 也 会 存在 错误 。 网 络 中 常用 组 件 的 技术 脆弱 性 如 果 
被 利用 ,会 给 网 络 的 安全 性 带 来 严重 影响 。 技 术 脆弱 性 管理 应 覆盖 网 络 的 所 有 组 件 ,应 
包括 : 

。 及 时 获得 有 关 技 术 脆弱 性 的 信息 ; 

。 评价 网 络 暴露 在 这 种 脆弱 性 下 的 程度 ; 

。 确定 适当 的 控制 措施 来 处 理 相关 风险 ; 

。 实施 和 验证 所 确定 的 控制 措施 。 


4 标识 与 鉴别 

限定 仅 被 授权 人 员 ( 不 管 是 组 织 内 部 的 还 是 外 部 的 ) 才 能 经 由 网 络 连接 进行 访问 是 确 
保 网 络 服务 和 相关 信息 安全 的 重要 手段 。 与 网 络 连接 使 用 相关 的 标识 与 鉴别 控制 区 域 
包括 : 

。 远程 登录 ; 

。 增强 型 鉴别 ; 

。， 远程 系 统 标识 ; 

。 安全 的 单 点 登录 。 


5 网 络 审计 日 志 与 监视 

通过 具有 快速 检测 .调查 .报告 和 相应 安全 事件 的 审计 日 志和 持续 监视 来 确保 网 络 安 
全 的 有 效 性 是 非常 重要 的 。 和 否则 ,不 可 能 保证 网 络 安全 控制 措施 总 是 有 效 的 及 影响 业务 
运行 的 安全 事件 不 发 生 。 

对 于 网 络 连接 ,审计 日 志 应 包括 如 下 事件 类 型 : 

。 失败 的 远程 登录 尝试 及 其 日 期 和 时 间 ; 

。 失败 的 再 鉴别 (或 令 牌 使 用 ) 事 件 ; 

。 违背 安全 网 关 策 略 的 通信 ， 

。 远程 尝 试 访问 审计 日 志 ; 

。 有 安全 隐患 的 系统 管理 报警 (例如 ,IP 地 址 冲突 ,线路 中 断 )。 

在 网 络 环境 下 ,审计 日 志 的 信息 有 多 种 来 源 ( 如 路 由 器 、 防 火 墙 和 入 侵 检测 系统 ) ,并 
可 被 送 到 一 个 中 央 审 计 服 务 器 进行 合并 和 分 析 。 所 有 的 审计 日 志 都 应 既 能 实时 也 能 离线 
查看 。 

审计 踪迹 应 根据 组 织 的 需要 在 线 保 留 一 段 时 间 。 所 有 审计 踪迹 应 以 能 确保 其 完整 性 
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和 可 用 性 的 方式 进行 备份 和 存档 ,如 写 入 CD 这 样 的 一 次 写 人 多 次 读 出 (write once read 
many， WORM) 介 质 。 审 计 日 志 包 含有 敏感 信息 和 证 据 信息 ,因此 有 必要 予以 适当 的 保 
护 。 另 外 ,审计 踪迹 和 相关 服务 器 的 时 间 同 步 也 是 重要 的 。 

持续 监视 应 包括 如 下 方面 : 

。 来 自 防 火 墙 .路 由 器 、 服 务 器 等 的 审计 日 志 ; 

。 来 自 事先 设 定 通 知 特定 事件 类 型 的 审计 日 志 的 报警 ; 

。 入侵 检测 系统 (intrusion detection system,IDS) 的 输出 ; 

。 网 络 安全 扫描 的 结果 ; 

。 用 户 或 维护 人 员 报 告 的 事件 信息 ; 

。 安全 符合 性 的 评审 结果 。 

网 络 监视 应 以 完全 符合 相关 国家 和 国际 法 律 与 规章 的 方式 进行 。 很 显然 ,采取 的 监 
视 行为 应 与 组 织 的 安全 和 隐私 策略 以 及 具有 相关 责任 的 适当 规程 保持 一 致 。 如 果 网 络 日 
志 用 作 刑 事 或 民事 起 诉 的 证 据 , 网 络 审计 日 志和 监视 还 应 按照 法 律 取证 的 要 求 进行 。 


6 入 侵 检测 
随 着 网 络 连接 的 增加 ,入 侵 者 有 更 多 人 侵 途 径 。 此 外 ,入 侵 者 变 得 更 加 老练 ,互联 网 
上 有 更 多 容易 得 到 的 更 加 先进 的 攻击 方法 和 工具 。 这 些 工具 中 的 许多 是 自动 的 ,非常 有 
效 的 且 易 于 使 用 的 , 连 经 验 有 限 的 新 手 都 可 以 利用 。 
防止 所 有 的 潜在 渗透 攻击 是 不 可 能 的 ,结果 是 总 会 发 生 一 些 不 同 程度 的 成 功 入 侵 。 
对 付 这 种 风险 除了 实施 良好 的 识别 与 鉴别 .逻辑 访问 控制 和 核查 与 审计 外 ,如 果 合 理 ,还 
应 配 以 和 人 侵 检测 能 力 。 这 种 能 力 提供 预知 入 侵 .识别 人 侵 和 发 出 适当 报警 的 手段 。 它 能 
够 收集 入 侵 信息 进行 合并 和 分 析 , 还 可 以 分 析出 一 个 组 织 正 常 的 信息 系统 行为 /使 用 模 
式 ,用 以 识别 异常 行为 /使 用 。 
在 许多 情况 下 ,可 能 清楚 某 种 未 授权 或 有 害 事件 正在 发 生 。 它 可 能 是 不 明 原因 的 服 
务 性 能 下 降 ,也 可 能 是 拒绝 特定 服务 。 重 要 的 是 要 尽 可 能 地 知道 人 侵 的 原因 ,严重 性 和 范 
围 ,以 便 采 取 应 对 措施 。 
入 侵 检测 能 力 相对 于 审计 日 志 分 析 工 具 和 方法 更 加 复杂 。 更 加 有 效 的 入 侵 检 测 能 力 
是 使 用 后 台 处 理 器 ,依据 给 定 的 规则 ,自动 分 析 在 审计 踪迹 和 其 他 日 志 中 记录 的 过 去 行为 
来 预知 人 侵 ,以 及 从 审计 踪迹 中 分 析出 恶意 行为 或 非 正常 使 用 行为 的 模式 。 
入侵 检测 系统 (IDS) 有 如 下 两 种 类 型 
。 网 络 入 侵 检测 系统 (network intrusion detection system ,NIDS) 监 视 网 络 上 的 数 
据 包 ,并 通过 与 已 知 攻击 模式 进行 匹配 来 试图 发 现 人 侵 行为 ; 

。 主机 入 侵 检测 系统 (host based intrusion detection system, HIDS) 监 视 主机 (服务 
器 ) 的 活动 ,并 通过 查看 安全 事件 日 志 或 检查 对 系统 的 改变 (如 对 关键 系统 文件 或 
系统 注册 表 的 改变 ) 来 发 现 人 侵 行为 。 

在 某 些 情况 下 ,对 检测 出 的 入 侵 的 响应 可 以 通过 入 侵 防 护 系统 (intrusion prevention 
system,IPS) 来 自动 实现 。 


了 防范 恶意 代码 
用 户 应 意识 到 恶意 代码 (包括 病毒 ) 可 能 通过 网 络 连接 进入 他 们 的 计算 环境 。 亚 意 代 
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码 可 引起 计算 机 执行 非 授权 的 功能 (例如 ,在 给 定 的 日 期 和 时 间 对 给 定 的 目标 进行 消息 炙 
炸 ) 或 破坏 重要 资源 (例如 删除 文件 ) ,一 旦 发 现 脆弱 的 主机 便 在 其 上 复制 自己 。 恶 意 代 码 
在 损害 发 生 之 前 不 太 可 能 被 检测 出 来 ,除非 实施 了 适当 控制 。 恶 意 代码 可 能 导致 安全 控 
制 措施 的 损害 (例如 ,窃取 和 泄露 口令 ) .不 期 望 的 信息 泄露 不 期 望 的 信息 改变 、 信 息 损坏 
和 /或 系统 资源 的 非 授 权 使 用 。 

某 些 恶意 代码 可 以 被 专门 的 扫描 软件 检测 出 并 移 除 。 这 种 扫描 器 可 用 在 防火 墙 、 文 
件 服 务 器 .邮件 服务 器 和 工作 站 来 封杀 某 些 类 型 的 恶意 代码 。 为 了 检测 出 新 的 恶意 代码 ， 
通过 每 天 升级 确保 扫描 软件 总 是 最 新 非常 重要 。 但 是 ,用 户 和 管理 员 不 应 指望 这 种 扫描 
器 能 够 检测 出 所 有 恶意 代码 (甚至 某 一 种 类 型 的 所 有 恶意 代码 ) ,因为 新 的 恶意 代码 形式 
不 断 出 现 。 通常 需要 其 他 形式 的 控制 (如 果 存 在 ) 来 加 强 扫描 器 所 提供 的 保护 。 

总 体 来 说 ,由 反 恶 意 代 码 软件 来 扫描 数据 和 程序 ,以 识别 类 似 于 病毒 .蠕虫 和 木马 模 
式 的 可 疑 之 处 。 扫 描 用 的 模式 库存 储 着 恶意 代码 的 特征 ,应 定期 更 新 或 在 新 的 特征 可 用 
时 进行 更 新 。 

带 有 网 络 连接 的 系统 的 用 户 和 管理 员 应 意识 到 , 当 通过 外 部 链 路 与 外 部 方 进行 交互 
时 ,恶意 代码 比 通常 具有 更 大 的 风险 。 应 为 用 户 和 管理 员 开 发 最 小 化 恶意 代码 引入 可 能 
性 的 规程 和 实践 指南 。 

用 户 和 管理 员 应 特别 小 心地 配置 与 网 络 连接 有 关 的 系统 和 应 用 ,关闭 不 必要 的 功能 
(例如 ,默认 禁止 宏 操作 或 在 执行 宏 操作 前 要 求 用 户 确认 ) 。 


8 基于 密码 基础 设施 的 服务 

随 着 电子 副本 逐渐 代 蔡 纸 质 副 本 ,对 电子 数据 的 安全 和 隐私 的 保护 需求 在 不 断 增长 。 
互联 网 的 出 现 和 组 织 网 络 扩展 到 能 够 让 组 织 外 部 客户 和 供应 商 进行 访问 ,加 速 了 对 基于 
密码 的 安全 解决 方案 的 需求 ,用 来 支持 鉴别 和 VPN 以 及 确保 保密 性 。 

密码 基础 设施 支持 的 服务 包括 : 

。 网 上 数据 的 保密 性 一 一 采用 加 密 机 制 实现 ; 

。 网 上 数据 的 完整 性 一 一 采用 数字 签名 和 /或 数据 完整 性 机 制 实 现 ; 

。 不 可 否认 性 一 一 对 于 一 般 的 不 可 否认 要 求 ,可 考虑 采用 通信 协议 、 应 用 协议 和 网 

关 等 手段 实现 ,对 于 较 高 的 不 可 否认 要 求 , 采 用 数字 签名 机 制 实现 ; 
。 密 钥 管 理 一 一 采用 PKI, Smartcard 等 技术 。 


9 业务 持续 性 管理 

当 灾 难 发 生 时 ,重要 的 是 有 控制 措施 通过 提供 在 适当 的 时 间 框 架 内 恢复 业务 各 部 分 
的 能 力 来 确保 业务 持续 运行 。 因 此 ,一 个 组 织 应 具备 业务 持续 性 管理 程序 ,该 程 序 具 有 和 覆 
盖 所 有 的 业务 持续 性 阶段 的 过 程 ,包括 建立 业务 恢复 优先 级 、 时 间 表 和 要 求 ,明确 业务 持 
续 性 策略 ,制定 业务 持续 性 计划 ,测试 业务 持续 性 计划 ,确保 所 有 员工 的 业务 持续 性 意识 ， 
维护 业务 持续 性 计划 和 降低 风险 。 

从 网 络 连接 视角 看 ,就 是 要 关注 维持 网 络 连 接 ,实施 具有 足够 容量 的 备 选 连接 ,在 有 
害 事件 后 恢复 连接 。 这 些 方面 及 其 要 求 应 基于 连接 对 业务 运行 的 重要 程度 和 中 断 事件 对 
业务 的 负面 影响 。 连 接 性 给 组 织带 来 许多 好 处 的 同时 , 当 发 生 连 接 中 断 事件 时 , 却 表现 为 
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脆弱 性 和 单 点 失效 ,可 能 给 组 织造 成 破坏 性 的 影响 。 


19.9 实施 和 运行 安全 控制 措施 


一 旦 技术 性 网 络 安全 体系 结构 及 其 安全 控制 措施 得 到 识别 ,文件 化 和 协商 一 致 ,网 络 
安全 控制 措施 就 应 得 到 实施 。 在 允许 网 络 运行 开始 前 ,实施 应 得 到 评审 和 测试 ,并 且 发 现 
的 任何 安全 不 足 都 得 到 了 处 理 。 在 安全 性 得 到 高 层 管理 批准 后 , 方 可 投入 运行 。 随 着 时 
间 的 推移 及 当 发 生 重大 变化 时 ,应 进行 进一步 的 实施 评审 。 


及 1 ”监视 和 评审 实施 


首次 实施 应 得 到 评审 ,以 确保 与 如 下 文档 中 规定 的 技术 性 安全 体系 结构 和 所 要 求 的 
安全 控制 措施 一 致 : 

。 技术 性 安全 体系 结构 ; 

。 联网 安全 策略 ; 

。 相关 的 安全 运行 规程 ; 

。 安全 网 关 服 务 访问 策略 ; 

。， 业务 连续 性 计划 ， 

。 安全 连接 条 件 。 

一 致 性 评审 应 在 投入 运行 前 完成 。 只 有 当 所 有 的 安全 不 足 被 识别 .修正 并 得 到 高 层 
管理 的 认可 ,这 种 评审 才 是 完整 的 。 投 入 运行 后 ,也 应 持续 进行 监视 和 评审 活动 ,包括 当 
业务 需求 .技术 和 安全 解决 方案 等 发 生 重大 变化 时 和 每 年 定期 的 活动 。 

值得 强调 的 是 ,进行 安全 测试 事先 应 有 安全 测试 策略 和 相关 的 测试 计划 来 确定 测试 
什么 \ 在 哪里 和 什么 时 间 。 通 常 , 测 试 包括 漏洞 扫描 和 渗透 测试 。 在 开始 这 种 测试 前 ,应 
检查 测试 计划 ,以 确保 测试 将 以 完全 符合 相关 法 律 和 规定 的 方式 进行 。 检 查 时 应 记 住 网 
络 可 能 不 局 限于 一 个 国家 内 , 它 可 能 分 布 到 具有 不 同 法 律 的 不 同 国家 。 测 试 报告 应 指出 
所 遇 到 的 脆弱 性 的 详细 情况 和 所 需要 的 修正 以 及 处 理 的 优先 级 ,并 附 上 确认 所 有 修正 已 
经 实施 的 内 容 。 测 试 报告 应 得 到 高 层 管理 的 批准 。 


和 和 ”本章 小 结 


典型 的 网 络 环境 包括 内 联网 、 外 联网 、 互 联网 、 电 话 网 、 无 线 网 和 非 军事 化 区 (DMZ2)。 
政府 机 构 和 商业 组 织 能 否 成 功利 用 现代 网 络 环境 带 来 机 会 ,取决 于 在 多 大 程度 上 管理 和 
控制 这 种 开放 环境 中 的 运行 风险 。 
网 络 安全 管理 过 程 包括 评审 整体 信息 安全 策略 .评审 网 络 体系 结构 和 应 用 、 识 别 网 络 
连接 类 型 识别 网 络 特性 和 信任 关系 、 识 别 安全 风险 ,识别 控制 区 域 . 实 施 和 运行 安全 控制 
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措施 ,监视 和 评审 实施 8 个 步骤 。 

(1) 评审 组 织 的 整体 信息 安全 策略 中 对 网 络 连接 的 安全 要 求 。 组 织 的 整体 信息 安全 
策略 包括 与 网 络 连接 直接 相关 的 对 保密 性 、 完 整 性 .可 用 性 ,不 可 和 否认 性 、 可 核查 性 真实 
人 性 和 可 靠 性 需求 的 陈述 ,以 及 对 威胁 类 型 的 观点 和 对 控制 措施 的 需求 。 

(2) 评审 网 络 体系 结构 和 应 用 时 应 考虑 网 络 类 型 .网络 协 议 、 网 络 应 用 、 网 络 实现 技 
术 和 现 有 网 络 连接 等 方面 。 网 络 类 型 包括 局 域 网 和 广域网 ;网 络 协议 包括 共享 介质 协议 、 
路 由 协议 和 MPLS; 网 络 应 用 包括 瘦 客 户 端 型 ,台式 机 型 的 应 用 、 基 于 终端 模拟 的 应 用 、 消 
息 传递 型 的 应 用 、 基 于 存储 转发 的 应 用 和 客户 端 /服务 器 型 的 应 用 ;网 络 实现 技术 包括 有 
线 / 无 线 局 域 网 /广域网 技术 ; 现 有 网 络 连 接 可 能 影响 新 的 连接 。 

(3) 考虑 到 有 关 的 网 络 体 系 结构 和 应 用 ,选择 合适 的 网 络 连接 类 型 。 网 络 连接 类 型 
从 业务 角度 按照 连接 的 对 象 和 范围 被 划分 为 A 一 G 这 7 种 类 型 。 

(4) 根据 网 络 连接 类 型 (从 A 到 G) 确 定 信任 环境 ( 低 . 中 和 高 ) ,再 关联 到 网 络 特性 
(公共 或 私有 ) 建 立信 任 关 系 , 包 括 低 /公共 中/ 公共、 高 /公共 、 低 /私有 、 中 /私有 和 高 / 私 
有 六 个 参考 类 别 。 

(5) 借助 于 风险 评估 和 管理 的 评审 结果 ,确定 相关 安全 风险 的 类 型 ,包括 未 授权 访问 
信息 .未 授权 发 送信 息 .引入 恶意 代码 .否认 接受 或 发 起 ,拒绝 服务 连接 、 信 息 和 服务 不 可 
用 等 。 

(6) 根据 网 络 连 接 类 型 .网 络 特 性 、 信 任 关系 和 安全 风险 类 型 ,识别 相应 的 控制 区 域 
和 控制 措施 ,并 在 相关 的 网 络 体系 结构 和 应 用 的 背景 下 进行 充分 的 评审 和 必要 的 适当 
调整 。 

(7) 实施 选 定 的 安全 控制 措施 ,并 在 网 络 投入 运行 前 ,对 实施 结果 进行 评审 和 测试 ， 
解决 发 现 的 任何 安全 不 足 。 在 安全 性 得 到 高 层 管理 批准 后 , 方 可 投入 运行 。 

(8) 持续 监视 ,并 定期 和 当 发 生 重大 变化 时 评审 网 络 安全 ,以 判断 是 否 仍 然 满 足 
要 求 。 


习 题 


. 简 述 网 络 安全 管理 过 程 。 

. 网 络 连接 类 型 是 如 何 划分 的 ? 

.如 何 识别 网 络 环境 中 的 信任 关系 ? 信任 关系 有 哪些 类 型 ? 
. 阐述 安全 风险 识别 的 用 途 和 作用 。 

. 列 出 网 络 安全 的 控制 区 域 。 

. 何 时 进行 评审 活动 ? 

. 对 于 安全 测试 有 哪些 注意 事项 ? 


wD- 
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20 辣 
竺 30 于。 安全 认证 和 评估 


本 章 要 点 : 

。 风险 管理 和 过 程 ; 

。 安全 成 熟 度 模型 的 作用 和 构成 ; 

。 威胁 来 源 .威胁 方法 及 预防 对 策 ; 

。 安全 评估 过 程 的 主要 阶段 ; 

。 网 络 安全 评估 技术 ; 

。 安全 评估 准则 概况 。 

针对 内 部 和 外 部 的 攻击 所 采用 的 安全 体系 结构 的 能 力 需 要 认证 和 评估 。 技 术 在 不 断 
变化 ,新 的 应 用 正在 开发 ,新 的 平台 正在 加 到 非 军事 区 (DMZ2) ,额外 的 端口 正在 加 进 防 火 
墙 。 由 于 竞争 ,很 多 应 用 在 市 场 的 生存 时 间 越 来 越 短 ,软件 开发 生命 周期 中 的 测试 和 质量 
保证 正在 忽略 。 很 多 大 的 组 织 甚至 没有 一 个 完全 的 目录 ,将 计算 机 、 网 络 设备 以 及 在 网 络 
上 的 各 个 应 用 编制 进去 ,而 只 是 将 这 些 组 件 独自 地 进行 配置 。 由 于 没有 将 安全 测试 作为 
软件 质量 保证 的 一 个 组 成 部 分 ,应 用 的 漏洞 (脆弱 性 ) 不 断 发 生 。 

安全 评估 认证 安全 体系 结构 是 否 能 满足 安全 策略 和 最 好 的 经 营业 务实 际 。 一 个 典型 
的 安全 评估 问题 是 它 经 常 没 有 用 于 对 经 营业 务 的 影响 的 评析 。 这 里 引入 一 个 概念 , 称 为 
安全 成 熟 度 模型 (Security Maturity Model，SMM) ,用 来 适当 地 测量 一 个 给 定 的 准则 ,该 
准则 基于 在 工业 界 最 佳 的 经 营业 务实 际 , 且 能 将 其 反馈 到 经 营业 务 。 它 还 提供 一 个 改进 
的 方法 ,包括 将 不 足 之 处 列 成 清单 。 安 全 成 熟 度 模型 可 测量 企业 安全 体系 结构 的 3 个 不 
同 部 分 : 安全 计划 .技术 和 配置 .操作 运行 过 程 。 

从 经 营业 务 的 观点 看 ,要 求 安全 解决 方案 的 性 能 价格 比 最 好 , 即 基于 特定 产业 的 最 佳 
实际 。 在 任何 系统 中 的 安全 控制 应 预防 经 营业 务 的 风险 。 然 而 ,决定 哪些 安全 控制 是 合 
适 的 以 及 性 能 价格 比 好 的 这 一 过 程 经 常 是 复杂 的 ,有 时 甚至 是 主观 的 。 安 全 风险 分 析 的 
最 主要 功能 是 将 这 个 过 程 置 于 更 为 客观 的 基础 上 。 


20.1 ”风险 管理 


风险 管理 是 识别 、 评 估 和 减少 风险 的 过 程 。 一 个 组 织 有 很 多 个 体 负 责 对 给 定 应 
用 接受 给 定 风 险 。 这 些 个 体 包 括 总 经 理 .CFO(Chief Financial Officer, 首席 财务 执行 
官 ) .经 营业 务 部 门 的 负责 人 ,以 及 信息 所 有 者 。 一 个 组 织 的 总 的 风险 依赖 于 下 面 一 
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些 属性 : 

。 资产 的 质量 (丢失 资产 的 效应 ) 和 数量 ( 钱 ) 的 价值 ; 

。 基于 攻击 的 威胁 可 能 性 ; 

。 假如 威胁 实现 ,对 经 营业 务 的 影响 。 

将 资产 价值 和 代价 相 联系 或 决定 投资 回报 (Return On Investment，RODI) 的 能 力 经 
常 是 困难 的 。 相 反 , 可 以 确定 保护 机 制 的 代价 。 将 国家 秘密 的 信息 作为 极 敏感 的 信息 , 因 
为 对 这 些 信息 的 错误 处 理 ,其 结果 将 危害 到 国家 秘密 。 比 之 于 商业 组 织 ,政府 愿意 花 更 多 
的 费用 来 保护 信息 。 

直接 的 定量 花费 包括 更 换 损 坏 的 设备 .恢复 后 备 和 硬盘 的 费用 等 。 由 于 事故 而 引起 
的 宕 机 时 间 是 可 测量 的 ,很 多 金融 贸易 系统 因此 而 遭受 大 量 经 济 损失 。 生 产 的 降低 ,例如 
E-mail 服务 器 宕 机 ,很 多 组 织 的 工作 将 停止 。 

与 定量 的 代价 相 比 ,质量 的 代价 对 组 织 的 破坏 更 大 。 假 如 用 来 销售 的 Web 站 点 被 黑 
客 破坏 了 ,有 可 能 所 有 客户 的 信用 卡号 被 偷 ,这 将 严重 地 影响 这 个 站 点 的 信誉 。 也 有 可 能 
在 短 时 期 内 ,经 营业 务 停止 。 

风险 评估 对 漏洞 和 威胁 的 可 能 性 进行 检查 ,并 考虑 事故 造成 的 可 能 影响 。 威 胁 的 水 
平 决 定 于 攻击 者 的 动机 、 知 识 和 能 力 。 大 部 分 内 部 人 员 不 大 可 能 使 用 黑客 工具 ,然而 十 分 
熟悉 网 上 的 应 用 ,可 以 删除 文件 .引起 某 些 物理 损坏 ,其 至 是 逻辑 炸弹 等 。 

漏洞 水 平和 保护 组 织 资产 的 安全 体系 结构 的 能 力 正 相 反 。 如 果 安 全 控制 弱 , 那 么 暴 
露 的 水平 高 , 随 之 发 生 事故 灾难 的 几率 也 大 。 对 数据 、 资 源 的 漏洞 及 其 利用 的 可 能 性 取决 
于 以 下 属性 , 且 很 难 预测 . 资产 的 价值 ,对 对 手 的 吸引 力 ,技术 的 变更 .网 络 和 处 理 器 的 速 


度 、 软 件 的 缺陷 等 。 


资产 价值 攻击 可 能 性 
数量 的 质量 的 | 威胁 水 平 漏洞 水 平 
蔡 换 代价 丢失 机 密 能 暴 赴 
性 、 完整 能 力 暴露 
性 、 可 用 
丢失 业务 性 
激发 机 会 
丢失 生产 率 丢失 执照 
间接 损失 丢失 信誉 


图 20-1 风险 评估 方法 
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描述 威胁 和 漏洞 最 好 的 方法 是 根据 对 经 营业 务 的 影响 描述 。 此 外 ,对 特殊 风险 的 
评估 影响 还 和 不 确定 性 相 联 系 ,也 依赖 于 暴露 的 水 平 。 所 有 这 些 因素 对 正确 地 预测 具 
有 很 大 的 不 确定 性 ,因此 安全 的 计划 和 认证 是 十 分 困难 的 。 图 20-1 表示 了 风险 评估 的 
方法 。 


20.2 ”安全 成 熟 度 模型 


成 熟 度 模型 可 用 来 测量 组 织 的 解决 方案 (软件 ,硬件 和 系统 ) 的 能 力 和 效力 。 因 此 它 
可 用 于 安全 评估 ,以 测量 针对 业界 最 佳 实际 的 安全 体系 结构 。 可 以 就 以 下 3 个 方面 进行 
分 析 : 安全 计划 技术 和 配置 ,操作 运行 过 程 。 安 全 计划 包括 安全 策略 标准、 指南 以 及 安 
全 需求 。 技 术 和 配置 的 成 熟 度 水 平 根据 选择 的 特定 产品 .准则 ,在 组 织 内 的 安置 以 及 产品 
配置 而 定 。 操 作 运 行 过 程 包括 变更 管理 ,报警 和 监控 ,以 及 安全 教育 方面 。 美 国 Carnegie 
Mellon 大 学 的 软件 工程 研究 所 (Software Engineering Insititue,SEI) 制 定 了 系统 安全 工 
程 能 力 成 熟 度 模 型 (System Security Engineering Capability Maturity Model，SSE- 
CMM) 。 它 将 安全 成 熟 度 能 力 级 别 分 成 4 级 ,以 适应 不 同 级 别 的 安全 体系 结构 ,如 表 20-1 
所 示 。 


1 安全 计划 
一 个 好 的 安全 体系 结构 必须 建立 在 一 个 坚固 的 安全 计划 基础 之 上 。 计 划 的 文本 必须 
清晰 、 完 整 。 很 多 组 织 的 安全 策略 ,标准 和 指南 存在 以 下 一 些 问 题 : 
(1) 内 容 太 旧 ,已 过 时 ,不 适用 于 当前 的 应 用 。 安 全 策略 应 每 年 更 新 ,以 适应 技术 的 
变化 。 
表 20-1 安全 成 熟 度 能 力 级 别 


安全 成 熟 度 能 力 级 别 说 明 

无 效力 (50%) 人 

需要 改进 (65%) 安全 体系 结构 中 无 效力 的 应 少 于 35% 

合适 (85%) 企业 的 安全 计划 、 部 署 配 置 和 过 程控 制 使 安全 体系 结构 能 满足 
总 的 目标 

极 好 (超过 100%%) 安全 体系 结构 超过 了 总 的 目标 及 需求 


(2) 文本 有 很 多 用 户 , 如 开发 者 .风险 管理 者 .审计 人 员 , 所 用 语言 又 适用 于 多 种 解 
释 。 如 果 陈 述 太 抽象 ,那么 实施 时 将 无 效力 。 
(3) 表达 不 够 详细 。 很 多 组 织 的 安全 策略 观念 只 是 一 个 口令 管理 。 组 织 安全 策略 文 
本 中 通常 缺少 信息 的 等 级 分 类 以 及 访问 控制 计划 文本 。 
(4) 用 户 需要 知道 有 关 安 全 的 文本 。 如 果 用 户 不 能 方便 地 获得 和 阅读 文本 ,就 会 无 
意 地 犯规 ,然而 难以 追查 责任 。 
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2 技术 和 配置 

当今 ,市 场 上 有 很 多 安全 厂商 和 安全 产品 ,但 是 没有 一 个 产品 能 提供 完全 的 安全 解决 
方案 。 诸 如 防火 墙 .IDS`VPN ,鉴别 服务 器 等 产品 都 只 是 解决 有 限 的 问题 。 安 全 专业 人 
员 应 能 适当 地 选择 产品 ,正确 地 将 它们 安置 在 基础 设施 中 ,合适 地 配置 和 支持 。 然 而 ,他 
们 经 常会 不 正确 地 采购 安全 产品 ,例如 ,有 人 认为 只 要 在 需要 保护 的 有 价值 的 资产 前 放置 
一 个 防火 墙 ,就 什么 问题 都 能 解决 。 从 网 络 的 观点 看 部 分 正确 ,但 防火 墙 不 提供 应 用 和 平 
台 的 保护 ,也 不 提供 有 用 的 入 侵 检 测 信息 。 

安全 产品 的 合适 配置 也 是 一 个 挑战 。 有 时 产品 的 默认 配置 是 拒绝 所 有 访问 ,只 有 清 
晰 的 允许 规则 能 通过 通信 。 安 全 产品 配置 的 最 大 挑战 是 需要 有 熟练 的 专业 人 员 来 配置 和 
管理 。 

3 运行 过 程 

运行 过 程 包括 安全 组 件 需要 的 必要 支持 和 维护 、 变 更 管理 .经 营业 务 的 连续 性 、 用 户 
安全 意识 培训 、 安 全 管理 ,以 及 安全 报警 与 监控 。 安 全 基础 设施 组 件 的 支持 和 维护 类 似 于 
主机 和 应 用 服务 器 所 需 的 支持 。 人 允许 的 变更 管理 要 有 能 退回 到 目前 工作 版 本 的 设施 ,并 
且 要 和 经 营业 务 连续 性 计划 协调 一 致 。 

安全 设备 会 产生 一 些 不 规则 的 日 志 信息 ,这 对 管理 员 来 说 是 复杂 的 ,一 旦 配置 有 差 
错 , 就 会 阻止 访问 网 络 、 应 用 或 平台 。 对 各 种 人 员 的 培训 是 任何 安全 体系 结构 成 功 的 关 
键 。 最 后 ,识别 安全 事故 的 能 力 且 按 照 一 个 逐步 升级 的 过 程 来 恢复 是 最 重要 的 。 

技术 变化 十 分 迅速 ,对 从 事 于 安全 事业 的 人 员 增 加 了 很 多 困难 ,因此 选择 高 水 平 的 人 
员 从 事 该 项 工作 是 必需 的 。 特 别 是 ,从 事 安全 培训 的 专业 人 员 是 有 效 信息 安全 程序 的 关 
键 ,要 使 用 各 种 有 效 媒体 进行 安全 培训 课程 。 每 个 企业 员工 都 要 接受 安全 培训 ,要 对 不 同 
的 人 员 ( 例 如 安全 管理 员 、 最 终 用 户 ,数据 拥有 者 ) 有 针对 性 地 进行 培训 。 


203 威胁 


在 第 2 章 中 讲 到 ,风险 是 构成 安全 基础 的 基本 观念 。 风 险 是 丢失 需要 保护 的 资产 的 
可 能 性 。 测 定 风险 的 两 个 组 成 部 分 是 漏洞 和 威胁 。 漏 洞 是 攻击 可 能 的 途径 ,威胁 是 一 个 
可 能 破坏 信息 系统 安全 环境 的 动作 或 事件 。 威 胁 包含 3 个 组 成 部 分 : 

(1) 目标 ,可 能 受到 攻击 的 方面 。 

(2) 代理 ,发 出 威胁 的 人 或 组 织 。 

(3) 事件 ,做 出 威胁 的 动作 类 型 。 作 为 威胁 的 代理 ,必须 要 有 访问 目标 的 能 力 ,有 关 
于 目标 的 信息 类 型 和 级 别 的 知识 ,还 要 有 对 目标 发 出 威胁 的 理由 。 

本 章 从 安全 的 验证 和 评估 出 发 ,具体 分 析 各 种 威胁 源 、 威 胁 是 如 何 得 逮 的 以 及 针对 这 
些 威胁 的 对 策 。 


2031 威胁 源 


弄 清楚 威胁 的 来 源 是 减少 威胁 得 进 可 能 性 的 关键 .下面 陈述 各 种 主要 的 威胁 源 。 
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1 人 为 差错 和 设计 缺陷 

最 大 的 威胁 来 源 是 操作 中 人 为 的 朴 忽 行为 。 据 一 些 统计 ,造成 信息 系统 在 经 费 和 生产 
力 方面 损失 的 一 半 是 由 于 人 为 的 差错 , 另 一 半 则 是 有 意 的 、 恶 意 的 行为 。 这 些 人 为 差错 包括 
不 适当 地 安装 和 管理 设备 .软件 ,不 小 心地 删除 文件 ,升级 错误 的 文件 ,将 不 正确 的 信息 放 入 
文件 ,忽视 口令 更 换 或 做 硬盘 后 备 等 行为 ,从 而 引起 信息 的 丢失 、 系 统 的 中 断 等 事故 。 

上 述 事 故 由 于 设计 的 缺陷 ,没有 能 防止 很 多 普遍 的 人 为 差错 引起 的 信息 丢失 或 系统 
故障 。 设 计 的 缺陷 还 会 引起 各 种 漏洞 的 暴露 。 


2 内 部 人 员 

很 多 信息 保护 设施 的 侵犯 是 由 一 些 试 图 进行 非 授 权 行动 或 越权 行动 的 可 信人 员 执 行 
的 。 其 动机 有 些 是 出 于 好 奇 ,有 些 是 恶意 的 ,有 些 则 是 为 了 获 利 。 内 部 人 员 的 入 侵 行 为 包 
括 复制 .窃取 或 破坏 信息 ,然而 这 些 行 为 又 难以 检测 。 这 些 个体 持 有 许可 或 其 他 的 授权 ， 
或 者 通过 那些 无 须 专门 授权 的 行为 使 网 络 运行 失效 或 侵犯 保护 设施 。 根 据 统计 ,内 部 人 
员 的 侵犯 占 所 有 严重 安全 侵犯 事件 的 70 闻 一 80%% 。 


3 临时 员工 

外 部 的 顾问 合同工, 临时 工 应 和 正式 员工 一 样 ,必须 有 同样 的 基本 信息 安全 要 求 和 
信息 安全 责任 ,但 还 需 有 一 些 附加 的 限制 。 例 如 ,和 正式 员工 一 样 , 需 签 一 个 信息 安全 遵 
守 合同 ,接受 相应 的 安全 意识 培训 。 除 此 之 外 ,临时 员工 还 必须 有 一 个 专门 的 协议 ,只 允 
许 访问 那些 执行 其 委派 的 任务 所 需 的 信息 和 系统 。 


4 自然 灾害 和 环境 危害 

环境 的 要 求 , 诸 如 最 高 温度 和 最 低温 度 、 最 高 湿度 风暴、 龙卷风 、 照 明 、 为 水 所 淹 、 雨 、 
火灾 以 及 地 震 等 ,都 能 破坏 主要 的 信息 设施 及 其 后 备 系统 。 应 制定 灾难 恢复 计划 ,预防 和 
处 理 这 些 灾害 。 

5 黑客 和 其 他 入 侵 者 

来 自 于 非 授 权 的 黑客 ,为 了 获得 钱财 .产业 秘密 或 纯粹 是 破坏 系统 的 入 侵 攻 击 行为 近 
年 来 呈 上 升 趋势 。 这 些 群 体 经 常 雇佣 一 些 攻击 高 手 并 进行 答 人 听闻 的 报道 。 这 些 群 体 包 
括 青少年 黑客 .专业 犯罪 者 .工业 间谍 或 外 国 智能 代理 等 。 

6 病毒 和 其 他 恶意 软件 

病毒 . 肾 虫 .特洛伊 木马 以 及 其 他 恶意 软件 通过 磁盘 、 预 包装 的 软件 .电子 邮件 和 连接 
到 其 他 网 络 进入 网 络 。 这 些 危害 也 可 能 是 由 于 人 为 差错 .内 部 人 员 或 入 侵 者 引起 的 。 

2032 威胁 情况 与 对 策 

采取 对 策 以 防止 各 种 威胁 情况 ,不仅 需要 了 解 威胁 的 来 源 . 还 应 知道 这 些 威胁 是 怎样 
侵袭 安全 体系 结构 的 。 下 面 列举 各 种 情况 。 

1 社会 工程 (系统 管理 过 程 ) 

社会 工程 攻击 假冒 已 知 授权 的 员工 ,采用 伪装 的 方法 或 电子 通信 的 方法 ,具体 情况 
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如 下 : 

中 攻击 者 发 出 一 封 电 子 邮件 ,声称 是 系统 的 根 , 通 知 用 户 改变 口令 以 达到 暴露 用 户 
口令 的 目的 。 

@ 攻击 者 打 电话 给 系统 管理 员 , 声 称 自己 是 企业 经 理 ,丢失 了 modem 池 的 号 码 、 忘 
记 耶 日 令 。 

@ 谎 说 是 计算 机 维修 人 员 ,被 批准 进入 机 房 ,并 访问 系统 控制 台 。 

@ 含有 机 密 信息 的 固定 存储 介质 (硬盘 软盘) 被 丢弃 或 不 合适 地 标号 ,被 非 授 权 者 
假装 搜集 废物 获得 。 

所 有 上 面 4 种 威胁 情况 都 可 以 使 攻击 得 件 。 社 会 工程 的 保护 措施 大 多 是 非 技术 的 方 
法 。 下 面 列 出 的 每 一 种 保护 措施 可 防御 上 面 提 到 的 攻击 : 

(1) 培训 所 有 企业 用 户 的 安全 意识 。 

(2) 培训 所 有 系统 管理 员 的 安全 意识 ,并 有 完善 的 过 程 . 处 理 、. 报 告 文本 。 

(3) 对 允许 外 访 人 员 进 入 严格 限制 区 域 的 负责 人 进行 安全 意识 培训 。 


2 电子 窃听 

Internet 协议 集 在 设计 时 并 未 考虑 安全 。TELNET、FTP、SMTP 和 其 他 基于 
TCP/IP 的 应 用 易于 从 被 动 的 线 接头 获取 。 用 户 鉴 别 信 息 ( 如 用 户 名 和 口令 ) 易 于 从 网 络 
中 探测 到 ,并 伪装 成 授权 员工 使 用 。 假 如 外 部 人 员 对 企业 设施 获得 物理 访问 , 则 可 以 将 带 
有 无 线 modem 的 手提 计算 机 接 到 局 域 网 或 集线器 上 ,所 有 通过 局 域 网 或 集线器 的 数据 易 
于 被 任何 威胁 者 取得 。 此 外 ,假如 外 部 人 员 能 电子 访问 带 有 modem 服务 器 进程 的 工作 
站 ,就 可 以 将 其 作为 进入 企业 网 络 的 入口 。 任 何在 Internet 传输 的 数据 对 泄露 威胁 都 是 
漏洞。 所 有 上 述 4 种 威胁 都 有 可 能 使 这 些 攻击 得 偿 。 

防止 窃听 的 保护 措施 包括 鉴别 和 加 密 。 使 用 双 因 子 鉴 别提 供 强 的 鉴别 ,典型 的 做 法 
是 授权 用 户 持 有 一 个 编码 信息 的 物理 标记 再 加 上 一 个 用 户 个 人 标识 号 (PIN) 或 口令 。 保 
护 传输 中 的 口令 和 ID, 可 以 采用 加 密 的 措施 。 链 路 加 密 (SSL 和 IPv6) 保 护 直 接 物理 连接 
或 逻辑 通信 通路 连接 的 两 个 系统 之 间 传 输 的 信息 。 应 用 加 密 ( 安 全 Telnet 和 FTP、 
S/MIME) 提 供 报 文保 护 , 在 源 端 加 密 , 只 在 目的 地 解密 。 数 字 签名 可 认证 发 送 者 的 鉴别 
信息 ,如 伴随 用 哈 希 算法 可 保护 报 文 的 完整 性 。 


3 软件 缺陷 

当前 两 个 最 大 的 软件 缺陷 是 缓冲 器 溢出 和 拒绝 服务 攻击 。 当 写 入 太 多 的 数据 时 ,就 
会 发 生 缓冲 器 溢 出 ,通常 是 一 串 字 符 写 入 固定 长 度 的 缓冲 器 。 对 数据 缓冲 器 的 输入 没有 
足够 的 边界 检查 ,使 得 输入 超过 缓冲 器 的 容量 。 一 般 情况 下 ,系统 崩溃 是 由 于 程序 试图 访 
问 一 个 非法 地 址 。 然 而 ,也 有 可 能 用 一 个 数据 串 来 代替 生成 可 检测 的 差错 ,从 而 造成 攻击 
者 希望 的 特定 系统 的 漏洞 。Carnegie Mellon 软件 工程 研究 所 的 计算 机 应 急 响 应 组 
(Computer Emergenoy Response Team,CERT) 有 196 个 有 关 缓 冲 器 溢出 的 文档 报告 ,如 
Microsoft 的 终端 服务 器 Outlook Express，Internet 信息 服务 器 (IIS) ,还 有 一 些 众人 熟 
知 的 有 关 网 络 服务 的 ,如 网 络 定 时 协议 (Network Time Protocol, NTP) 、Sendmail、 
BIND、SSHv1. 37、Kerberos 等 。 
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一 个 拒绝 服务 攻击 使 得 目标 系统 响应 变 慢 ,以 致 完全 不 可 用 。 有 很 多 原因 可 导致 这 种 
结果 : @D 编 程 错误 以 致使 用 100% 的 CPU 时 间 。@ 由 于 内 存 的 漏洞 使 系统 的 内 存 使 用 连续 
增加 。@Web 请 求 或 远程 过 程 调用 (RPC) 中 发 生 的 畸形 数据 请 求 。@ 大 的 分 组 请 求 ,如 大 
量 电 子 邮 件 地 址 请 求 和 Internet 控制 报 文 协议 (Internet Control Message Protocol,ICMP) 请 
求 。@ 不 停 的 网 络 通信 UDP 和 ICMP 造成 广播 风暴 和 网 络 淹没 。@ 伪 造 的 路 由 信息 或 无 
响应 的 连接 请 求 。@ 布 线 . 电 源 .路 由 器 ,平台 或 应 用 的 错误 配置 。 

CERT 有 318 个 文本 是 关于 对 各 种 应 用 和 平台 操作 系统 的 拒绝 服务 攻击 。 在 大 多 
数 情况 下 ,由 于 攻击 者 已 经 损坏 了 执行 攻击 的 机 器 ,使 得 要 告发 这 些 个 体 实 施 的 攻击 
很 困难 。 


4 信任 转移 (主机 之 间 的 信任 关系 ) 

信任 转移 是 把 信任 关系 委托 给 可 信 的 中 介 。 一 旦 外 部 人 员 破 坏 了 中 介 信 任 的 机 器 ， 
其 他 的 主机 或 服务 器 也 易于 破坏 。 这 样 的 攻击 例子 如 下 : 四 误 用 一 个 . rhosts 文件 使 受 
损 的 机 器 不 需 口令 就 能 攻击 任何 在 . rhosts 文件 中 的 机 器 。@ 假 如 外 面 的 用 户 伪 装 成 一 
个 网 络 操作 系统 用 户 或 服务 器 , 则 所 有 信任 该 特定 用 户 或 服务 器 的 其 他 服务 器 也 易于 受 
破坏 。@@ 一 个 通过 网 络 文件 系统 (Network File System,NFS) 由 各 工作 站 共享 文件 的 网 
络 , 假 如 其 中 一 个 客户 工作 站 受 损 ,一 个 攻击 者 能 在 文件 系统 服务 器 上 生成 可 执行 的 特 
权 , 那 么 攻击 者 能 如 同 正常 用 户 一 样 登录 服务 器 并 执行 特权 命令 。 

信任 转移 的 保护 措施 主要 是 非 技术 方法 。 大 部 分 UNIX 环境 ( 非 DCE) 不 提供 信任 
转移 的 自动 机 制 。 因 此 系统 管理 员 在 映射 主机 之 间 的 信任 关系 时 必须 特别 小 心 。 


5 数据 驱动 攻击 (恶意 软件 ) 

数据 驱动 攻击 是 由 艇 在 数据 文件 格式 中 的 恶意 软件 引起 的 。 这 些 数 据 文件 格式 如 
PS 编程 语言 (postscript) 文 件 , 在 文本 中 的 MS Word 基本 命令 、shell 命令 表 (shell 
script) ,下 载 的 病毒 或 恶意 程序 。 数 据 驱动 攻击 的 例子 如 下 : 

@ 一 个 攻击 者 发 送 一 个 带 有 文件 操作 的 postscript 文件 ,将 攻击 者 的 主机 标识 加 
到 . rhosts 文 件 ;或 者 打开 一 个 带 有 Word 基本 命令 的 MS Word 文本 ,能 够 访问 Windows 
动态 链接 库 (Dynamic Link Library,DLL) 内 的 任何 功能 ,包括 Winsock. dll。 

@ 一 个 攻击 者 发 送 一 个 postscript 文件 ,该 文件 常 驻 在 基于 postscript 的 传真 服务 
器 中 ,就 能 将 每 一 个 发 送 和 接收 的 传真 拷贝 发 送 给 攻击 者 。 

@ 一 个 用 户 从 网 上 下 载 shellscript 或 恶意 软件 ,将 受害 者 的 口令 文件 邮寄 给 攻击 
者 ,并 删除 所 有 受害 者 的 文件 。 

@ 利用 HTTP 浏览 器 包装 诸如 特洛伊 木马 等 恶意 软件 。 


6 拒绝 服务 
DoS 攻击 并 不 利用 软件 的 缺陷 ,而 是 利用 实施 特定 协议 的 缺陷 。 这 些 攻 击 会 中 断 计 
算 平台 和 网 络 设备 的 运行 ,使 特定 的 网 络 端口 .应 用 程序 (如 SMTP 代理 ) 和 操作 系统 内 
核 超载 。 这 些 攻击 的 例子 有 TCP SYN 淹没 .ICMP 炸弹 .电子 邮件 垃圾 .Web 欺骗 ,域名 
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服务 (Domain Name System,DNS) 拦 动 等。 保持 计算 平台 和 网 络 设备 的 及 时 更 新 能 避免 
大 多 数 这 些 攻 击 。 防 止 有 一 些 攻 击 需 要 诸如 网 络 防 火 墙 这 类 网 络 过 滤 系 统 。 


7 DNS 欺骗 

域名 系统 (DNS) 是 一 个 分 布 式 数据 库 , 用 于 TCP/IP 应 用 中 ,映射 主机 名 和 IP 地 址 ， 
以 及 提供 电子 邮件 路 由 信息 。 如 果 Internet 地 址 值 到 域名 的 映射 绑 定 过 程 被 破坏 ,域名 
就 不 再 是 可 信和 的 。 这 些 易 破坏 的 点 是 话 用 的 发 送 者 、 诡 用 的 接收 者 、 认 用 的 中 介 , 以 及 服 
务 提供 者 的 攻击 。 例 如 ,假如 一 个 攻击 者 拥有 自己 的 DNS 服务 器 ,或 者 破坏 一 个 DNS 服 
务 咒 ,并 加 一 个 含有 受害 者 . rhosts 文件 的 主机 关系 ,攻击 者 就 很 容易 登录 和 访问 受害 者 
的 主机 。 

对 DNS 攻击 的 保护 措施 包括 网 络 防火 墙 和 过 程 方法 。 网 络 防火 墙 安全 机 制 依靠 双 
DNS 服务 器 ,一 个 用 于 企业 网 络 的 内 部 , 另 一 个 用 于 外 部 , 即 对 外 公开 的 部 分 。 这 是 为 了 
限制 攻击 者 了 解 内 部 网 络 主机 的 IP 地 址 ,从 而 加 固 内 部 DNS 服务 。Internet 工程 任务 
组 (Internet Engineering Task Force.IETF) 正 致力 于 标准 安全 机 制 工作 以 保护 DNS。 
所 谓 反 对 这 些 攻击 的 过 程 方法 是 对 关键 的 安全 决定 不 依赖 于 DNS。 


8 源 路 由 

通常 IP 路 由 是 动态 的 ,每 个 路 由 器 决定 将 数据 报 发 往 下 面 哪 一 个 站 。 但 IP 的 路 由 
也 可 事先 由 发 送 者 来 确定 , 称 源 路 由 。 严 格 的 源 路 由 依赖 于 发 送 者 提供 确切 的 通路 ,IP 
数据 报 必须 按 此 通路 走 。 松 散 的 源 路 由 依赖 于 发 送 者 提供 一 张 最 小 的 IP 地 址 表 ,数据 报 
必须 按 该 表 的 规定 通过 。 攻 击 者 首先 使 受害 者 可 信和 主机 不 工作 ,假装 该 主机 的 IP 地 址 ， 
然后 使 用 源 路 由 控制 路 由 到 攻击 者 主机 。 受 害 者 的 目标 主机 认为 分 组 来 自 受害 者 的 可 信 
主机 。 源 路 由 攻击 的 保护 措施 包括 网 络 防火 墙 和 路 由 屏幕 。 路 由 器 和 防火 墙 能 拦阻 路 由 
分 组 进入 企业 网 络 。 


9 内 部 威胁 

内 部 威胁 包括 前 面 提 到 的 由 内 部 人 员 作恶 或 犯罪 的 威胁 。 大 多 数 计算 机 安全 统计 表 
明 ,70% 一 80% 的 计算 机 欺骗 来 自 内 部 。 这 些 内 部 人 员 通 常 有 反对 公司 的 动机 ,能 对 计算 
机 和 网 络 进行 直接 物理 访问 ,以 及 熟悉 资源 访问 控制 。 在 应 用 层 的 主要 威胁 是 被 授权 的 
人 员 滥 用 和 误 用 授权 。 网 络 层 的 威胁 是 由 于 能 对 LAN 进行 物理 访问 ,使 内 部 人 员 能 见 
到 通过 网 络 的 敏感 数据 。 

针对 内 部 威胁 的 防护 应 运用 一 些 基本 的 安全 概念 : 责任 分 开 、 最 小 特权 、 对 个 体 的 可 
审 性 。 责 任 分 开 是 将 关键 功能 分 成 若干 步 ,由 不 同 的 个 体 承担 ,如 财务 处 理 的 批准 、 审 计 、 
分 接头 布线 的 批准 等 。 最 小 特权 原则 是 限制 用 户 访问 的 资源 ,只 限于 工作 必需 的 资源 。 
这 些 资 源 的 访问 模式 可 以 包括 文件 访问 ( 读 、 写 、 执 行 \ 删 除 ) 或 处 理 能 力 (系统 上 生成 或 删 
除 处 理 进程 的 能 力 ) 。 个 体 的 可 审 性 是 保持 各 个 体 对 其 行为 负责 。 可 审 性 通常 是 由 系统 
的 用 户 标识 和 鉴别 以 及 跟踪 用 户 在 系统 中 的 行为 来 完成 。 
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204 ”安全 评估 方法 


2041 安全 评估 过 程 


当前 安全 体系 结构 的 能 力 水 平 应 从 安全 成 熟 度 模型 的 3 个 方面 进行 评估 , 即 对 计划 、 
布局 和 配置 .运行 过 程 的 评估 。 安 全 评估 方法 的 第 1 步 是 发 现 阶段 ,所 有 有 关 安 全 体系 结 
构 适 用 的 文本 都 必须 检查 ,包括 安全 策略 .标准 、 指 南 ,信息 等 级 分 类 和 访问 控制 计划 ,以 
及 应 用 安全 需求 。 全 部 基础 设施 安全 设计 也 须 检查 ,包括 网 络 划分 设计 ,防火 墙 规则 集 ， 
入 侵 检 测 配置 ;平台 加 固 标准 .网 络 和 应 用 服务 器 配置 。 

评估 的 第 2 步 是 人 工 检查 阶段 ,将 文本 描述 的 体系 结构 与 实际 的 结构 进行 比较 , 找 出 
其 差别 。 可 以 采用 手工 的 方法 ,也 可 采用 自动 的 方法 。 使 用 网 络 和 平台 发 现 工具 ,在 网 络 
内 部 执行 ,可 表示 出 所 有 的 网 络 通 路 以 及 主机 操作 系统 类 型 和 版 本 号 。NetSleuth 工具 
是 一 个 IP 可 达 性 分 析 器 ,能 提供 到 网 络 端口 级 的 情况 。QUESO 和 NMAP 这 些 工 具有 具 
有 对 主机 全 部 端口 扫描 的 能 力 , 并 能 识别 设备 的 类 型 和 软件 版 本 。 

评估 的 第 3 步 是 漏洞 测试 阶段 。 这 是 一 个 系统 的 检查 ,以 决定 安全 方法 的 适用 、 标 识 
安全 的 差别 ,评价 现 有 的 和 计划 的 保护 措施 的 有 效 性 。 漏 洞 测试 阶段 又 可 分 成 3 步 。 第 
1 步 包 括 网 络 .平台 和 应 用 漏洞 测试 。 网 络 漏洞 测试 的 目标 是 从 攻击 者 的 角度 检查 系统 。 
可 以 从 一 个 组 织 的 Intranet 内 ,也 可 以 从 Internet 的 外 部 ,或 者 一 个 Extranet 合作 伙伴 进 
和 组织。 用 于 网 络 漏洞 测试 的 工具 通常 是 多 种 商业 化 的 工具 (例如 ISS 扫描 器 .Cisco 的 
Netsonar) 以 及 开放 给 公共 使 用 的 工具 (例如 Nessus 和 NMAP)。 这 些 测 试 工具 都 以 相 
同 的 方式 工作 。 首 先 对 给 出 的 网 络 组 件 (例如 防火 墙 、. 路 由 器 `VPN 网 关 平台) 的 所 有 网 
络 端口 进行 扫描 。 一 旦 检测 到 一 个 开启 的 端口 ,就 使 用 已 知 的 各 种 方法 攻击 这 端口 (例如 
在 Microsoft IIS 5.0、Kerberos、SSHdaemon 和 Sun Solstice AdminSuite Daemon 的 缓冲 
器 溢出 )。 大 部 分 商业 产品 能 生成 一 个 详细 的 报告 ,根据 攻击 产生 的 危害 , 按 风 险 级 别 列 
出 分 类 的 漏洞 。 漏 洞 测试 的 第 2 步 是 平台 扫描 ,又 称 系统 扫描 。 平 台 扫描 验证 系统 配置 
是 否 遵守 给 定 的 安全 策略 。 此 外 , 它 还 检测 任何 安全 漏洞 和 配置 错误 (例如 不 安全 的 文件 
保护 一 一 注册 和 配置 目录 ) 以 及 可 利用 的 网 络 服务 (例如 HTTP、FTP、DNS、SMTP 等 ) 。 
一 旦 平台 的 安全 加 固 已 经 构建 ,系统 扫描 将 构成 基础 , 它 定时 地 检测 任何 重要 的 变化 ( 例 
如 主页 更 换 、Web 站 点 受 损 )。 漏 洞 测试 的 第 3 步 是 应 用 扫描 。 应 用 扫描 工具 不 像 网络 
或 平台 工具 那样 是 自动 的 ,因此 , 它 是 一 个 手动 的 处 理 过 程 。 其 理念 是 模仿 攻击 者 成 为 授 
权 用 户 是 如 何 误 用 这 应 用 。 

安全 评估 的 最 后 1 步 是 认证 安全 体系 结构 的 处 理 过 程 部 分 。 包 括 自动 的 报警 设施 以 
及 负责 配置 所 有 安全 体系 结构 组 件 ( 如 防火 墙 ,IDS、VPN 等 ) 的 人 。 安 全 控制 出 现 问题 
最 多 的 是 人 为 的 差错 。 例 如 ,引起 防火 墙 不 能 安全 运行 的 主要 原因 是 配置 的 错误 以 及 不 
好 的 变更 管理 过 程 ,如 下 面 一 些 情况 : 有 一 个 防火 墙 管 理 员 在 深夜 接 到 一 个 紧急 电话 ， 
声称 由 于 网 络 的 问题 使 应 用 出 错 。@ 管 理 员 取 消 管理 集 对 分 组 的 限制 ,观察 是 否 是 防火 
墙 阻 断 了 这 个 分 组 。 加 应 用 开始 正常 工作 ,管理 员 回 去 睡觉 ,但 忘 了 防火 墙 管理 集 是 打开 
着 的 。@ 之 后 企业 网 络 被 入 侵 , 因 为 防火 墙 并 不 执行 任何 访问 控制 。 
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在 漏洞 分 析 测试 期 间 ,安全 体系 结构 监控 和 报警 设施 应 在 最 忙 的 状态 。 测 试 可 以 事 
先 通知 ,允许 净化 安全 日 志 、 分 配合 适 的 磁盘 空间 。 测 试 也 可 以 事先 不 通知 ,可 以 测量 安 
全 支持 人 员 的 反应 时 间 。 测 量 Internet 服务 提供 者 的 反应 时 间 是 有 用 的 ,特别 是 他 们 负 
责 管理 Internet 防火 墙 的 情况 。 

将 上 面 5 个 漏洞 分 析 测试 阶段 的 结果 汇总 、 分 析 , 可 得 出 总 的 风险 分 析 文本 ,从 5 个 
阶段 中 产生 的 信息 是 覆盖 的 。 很 多 自动 工具 厂商 有 内 置 的 报告 产生 器 ,根据 可 能 引起 危 
害 的 漏洞 进行 分 类 。 风 险 分 析 信 息 必 须 应 用 到 经 营业 务 , 转 而 成 为 经 营业 务 影响 的 文本 。 
很 多 安全 评估 报告 没有 将 风险 分 析 反 馈 到 对 经 营业 务 的 影响 ,安全 评估 的 价值 就 很 小 。 
图 20-2 表示 从 安全 成 熟 度 模型 3 个 方面 的 安全 评估 阶段 。 
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图 20-2 安全 评估 阶段 


2042 网 络 安全 评估 


由 于 Internet 协议 TCP/IP 的 实施 没有 任何 内 置 的 安全 机 制 , 因 此 大 部 分 基于 网 络 
的 应 用 也 是 不 安全 的 。 网 络 安全 评估 的 目标 是 保证 所 有 可 能 的 网 络 安全 漏洞 是 关闭 的 。 
多 数 网 络 安全 评估 是 在 公共 访问 的 机 器 上 ,从 Internet 上 的 一 个 IP 地 址 来 执行 的 ,诸如 
E-mail 服务 器 .域名 服务 器 (DNS) 、Web 服务 器 .FTP 和 VPN 网 关 等 。 另 一 种 不 同 的 网 
络 评估 实施 是 给 出 网 络 拓扑 、 防 火 墙 规则 集 和 公共 可 用 的 服务 器 及 其 类 型 的 清单 。 

网 络 评估 的 第 1 步 是 了 解 网 络 的 拓扑 。 假 如 防火 墙 在 阻 断 跟踪 路 由 分 组 ,这 就 比较 
复杂 ,因为 跟踪 路 由 器 是 用 来 绘制 网 络 拓 扑 的 。 

第 2 步 是 获取 公共 访问 机 器 的 名 字 和 IP 地 址 ,这 是 比较 容易 完成 的 。 只 要 使 用 
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DNS 并 在 ARIN(American Registry for Internet Number) 试 注册 所 有 的 公共 地 址 。 

最 后 1 步 是 对 全 部 可 达 主 机 做 端口 扫描 的 处 理 。 端 口 是 用 于 TCP/IP 和 UDP 网 络 
中 将 一 个 端口 标识 到 一 个 逻辑 连接 的 术语 。 端 口号 标识 端口 的 类 型 ,例如 80 号 端口 专用 
于 HTTP 通信 。 假 如 给 定 端口 有 响应 ,那么 将 测试 所 有 已 知 的 漏洞 。 表 20-2 列 出 了 各 
种 类 型 的 端口 扫描 技术 。 

表 20-2 端口 扫描 技术 

端口 扫描 技术 描 述 
打开 一 个 连接 观察 感 兴趣 的 端口 并 监听 (在 攻击 的 主机 上 不 需 专门 的 特 
权 )。 假 如 平台 、 防 火 墙 或 IDS 正在 监控 该 分 组 , 则 易于 检测 端口 的 扫描 
这 个 类 型 的 扫描 不 是 完全 的 TCP 三 次 握手 (SYN 输出 ,Ack 返回 ,Rst 输 
TCP SYN( 半 开 ) 出 )。 在 大 多 数 情况 下 ,监控 不 会 捕捉 它 , 但 需要 根据 管理 特权 来 控制 低 
层 联 网 数据 
TCP 协议 文本 (RFC 793) 规 定 关闭 的 端口 必须 对 reset(RST) 分 组 响应 。 
利用 该 特性 能 在 无 检测 情况 检测 哪些 端口 是 开启 或 关闭 的 。Microsoft 
的 联网 栈 不 响应 RST 分 组 ,这 是 另 一 种 来 识别 网 络 上 平台 类 型 的 方法 
TCP FTP 代理 (反弹 攻 | 这 种 技术 可 利用 一 个 FTP 服务 器 到 代理 (转发 请 求 ) 的 联接 进入 组 织 。 
击 ) 扫 描 换 句 话说 ,能 使 用 位 于 防火 墙 后 的 一 个 FTP 扫描 在 防火 墙 内 的 地 址 
TCP ACR 和 Windows 
扫描 


原型 TCP/IP 连接 


TCP FIN, Xmas 或 Null 
(偷袭 ) 扫 描 


这 个 技术 用 于 某 些 操作 系统 联网 核心 TCP 窗口 大 小 报告 的 异常 


很 多 UDP 服务 (例如 SNMP、NFS、TFTP 和 DNS) 运 行 在 平台 上 。 这 个 


UDP 未 处 理 ICMP 端口 | 方法 是 对 目标 机 的 每 个 端口 发 送 一 个 0 字 节 的 UDP 分 组 。 假 如 返回 一 


DU 个 不 可 达 ICMP 端口 ,那么 该 端口 是 关闭 的 ,否则 假定 端口 是 开启 的 
这 个 技术 用 于 所 有 打开 的 TCP/UDP 端口 ,并 用 Sun RPC 程序 NULL 命 
直接 RPC 扫描 令 将 其 扩散 。 假 如 RPC 运行 在 任何 端口 ,那么 程序 及 版 本 号 将 发 送 到 攻 


击 的 机 器 


由 TCP/IP 远程 用 户 信息 
服务 程序 实现 远程 OS | 内 联网 堆栈 标识 主机 操作 系统 及 版 本 
标识 


2043 平台 安全 评估 

平台 安全 评估 的 目的 是 认证 平台 的 配置 (操作 系统 对 已 知 漏洞 不 易 受 损 ,文件 保护 及 配 
置 文件 有 适当 的 保护 ) 。 认 证 的 唯一 方法 是 在 平台 自身 上 执行 一 个 程序 。 有 时 该 程序 称 为 
代理 ,因为 集中 的 管理 程序 由 此 开始 。 假 如 平台 已 经 适当 加 固 , 那 么 有 一 个 基准 配置 。 评 估 
的 第 1 部 分 是 认证 基准 配置 .操作 系统 、 网 络 服务 (FTP、rlogin ,telnet\SSH 等 ) 没 有 变更 。 黑 
客 首先 是 将 这 些 文件 替换 成 自己 的 版 本 。 这 些 版 本 通常 是 记录 管理 员 的 口令 ,并 转发 给 
Internet 上 的 攻击 者 。 假 如 任何 文件 需 打 补丁 或 需要 使 用 服务 包 , 代 理 将 通知 管理 员 。 

第 2 部 分 测试 是 认证 管理 员 的 口令 ,大 部 分 机 器 不 允许 应 用 用 户 登 录 到 平台 ,对 应 用 
的 用 户 鉴别 是 在 平台 上 运行 的 ,而 不 是 平台 本 身 。 

此 外 ,还 有 测试 本 地 口令 的 强度 ,如 口令 长 度 .口令 组 成 .字典 攻击 等 。 

最 后 跟踪 审计 子 系统 ,在 黑客 作案 前 就 能 跟踪 其 行 迹 。 
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数据 库 的 安全 评估 也 是 必需 的 ,这 部 分 内 容 不 在 本 书 叙述 范围 内 。 
2044 应 用 安全 评估 


应 用 安全 评估 比 使 用 像 网 络 和 平台 扫描 这 些 自 动工 具 而 言 ,需要 更 多 的 技艺 。 黑 客 
的 目标 是 得 到 系统 对 应 用 平台 的 访问 ,强迫 应 用 执行 某 些 非 授 权 用 户 的 行为 。 很 多 基于 
Web 应 用 的 开发 者 使 用 公共 网 关 接 口 (Common Gateway Interface,CG 了 1) 来 分 析 表 格 , 黑 
客 能 利用 很 多 已 知 漏洞 来 访问 使 用 CGI 开发 的 Web 服务 器 平台 (例如 放 入 “&.” 这 些 额 
外 的 字符 ) 。 

低 质量 编写 的 应 用 程序 的 最 大 风险 是 允许 访问 执行 应 用 程序 的 平台 。 当 一 个 应 用 损 
坏 时 ,安全 体系 结构 必须 将 黑客 包含 进 平 台 。 一 旦 一 台 在 公共 层 的 机 器 受 损 ,就 可 用 它 来 
攻击 其 他 的 机 器 。 最 通用 的 方法 是 在 受 损 的 机 器 上 安装 一 台 口 令 探测 器 。 


“205 ”安全 评估 准则 


根据 计算 机 信息 系统 安全 技术 发 展 的 要 求 ,信息 系统 安全 保护 等 级 划分 和 评估 的 基 
本 准则 如 下 。 


1 可 信 计 算 机 系统 评估 准则 

TCSEC(Trusted Computer System Evaluation Criteria， 可 信 计 算 机 系统 评估 准则 ) 
是 由 美国 国家 计算 机 安全 中 心 (NCSC) 于 1983 年 制定 的 计算 机 系统 安全 等 级 划分 的 基 
本 准则 ,又 称 橘 皮 书 。1987 年 NCSC 又 发 布 了 红皮书 , 即 可 信和 网 络 指南 (Trusted Network 
Interpretation of the TCSEC，TNI) , 1991 年 又 发 布 了 可 信 数 据 库 指南 (Trusted Database 
Interpretation of the TCSEC, TDD) 。 


2 信息 技术 安全 评估 准则 

ITSEC(Information Technology Security Evaluation Criteria, 信息 技术 安全 评估 准 
则 ?由 欧洲 四 国 ( 荷 法 、 英 、 德 ) 于 1989 年 联合 提出 ,俗称 白皮书 。 在 吸收 TCSEC 的 成 功 
经 验 的 基础 上 ,首次 在 评估 准则 中 提出 了 信息 安全 的 保密 性 、 完 整 性 .可 用 性 的 概念 ,把 可 
信 计 算 机 的 概念 提高 到 可 信 信 息 技 术 的 高 度 。 

3 通用 安全 评估 准则 

CCCCommand Criteria for IT Security Evaluation ,通用 安全 评估 准则 ) 由 美国 国家 
标准 技术 研究 所 (NIST) 、 国 家 安全 局 (NSA) 欧洲 的 荷 法、 德 . 英 以 及 加 拿 大 等 6 国 7 方 
联合 提出 ,并 于 1991 年 宣布 ,1995 年 发 布 正式 文件 。 它 的 基础 是 欧洲 的 白皮书 ITSEC、 
美国 的 (包括 橘 皮 书 TCSEC 在 内 的 ) 新 的 联邦 评价 准则 、 加 拿 大 的 CTCPEC 以 及 国际 标 
准 化 组 织 的 ISO/SCITWGS 的 安全 评价 标准 。 


4 计算 机 信息 系统 安全 保护 等 级 划分 准则 
我 国 国家 质量 技术 监督 局 于 1999 年 发 布 的 国家 标准 ,序号 为 GB17859 一 1999。 评价 
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准则 的 出 现 为 我 们 评价 .开发 .研究 计算 机 及 其 网 络 系统 的 安全 提供 了 指导 准则 。 
2051 可 信 计 算 机 系统 评估 准则 
TCSEC 共 分 为 4 类 7 级 : D.C1.C2.B1、.B2、B3、Al。 


1D 级 
安全 性 能 达 不 到 C1l 级 的 划分 为 D 级 。D 级 并 非 没 有 安全 保护 功能 ,只 是 太 弱 。 


2 C1 级 ,自主 安全 保护 级 

可 信 计 算 基 定义 和 控制 系统 中 命名 用 户 对 命名 客体 的 访问 。 实 施 机 制 ( 如 访问 控制 
表 ) 允 许 命名 用 户 和 用 户 组 的 身份 规定 并 控制 客体 的 共享 ,并 阻止 非 授权 用 户 读 取 敏 感 
信息 。 

可 信 计 算 基 (Trusted Computing Base, TCB) 是 指 为 实现 计算 机 处 理 系统 安全 保护 
策略 的 各 种 安全 保护 机 制 的 集合 。 


3 C2 级 , 受 控 存 取保 护 级 
与 自主 安全 保护 级 相 比 ,本 级 的 可 信 计 算 基 实 施 了 粒度 更 细 的 自主 访问 控制 , 它 通过 
登录 规程 .审计 安全 性 相关 事件 以 及 隔离 资源 ,使 用 户 能 对 自己 的 行为 负责 。 


4 B1 级 ,标记 安全 保护 级 

本 级 的 可 信 计 算 基 具有 受 控 存 取保 护 级 的 所 有 功能 。 此 外 ,还 可 提供 有 关 安 全 策略 
模型 ,数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形 式 化 描述 ,具有 准确 地 标记 输出 信息 
的 能 力 , 可 消除 通过 测试 发 现 的 任何 错误 。 


5 B 级 ,结构 化 保护 级 

本 级 的 可 信 计 算 基建 立 于 一 个 明确 定义 的 形式 安全 策略 模型 之 上 , 它 要 求 将 Bl 级 
系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ,还 要 考虑 隐蔽 通道 。 本 级 
的 可 信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关 键 保护 元 素 。 可 信 计 算 基 的 接口 也 必须 
明确 定义 ,使 其 设计 与 实现 能 经 受 更 充分 的 测试 和 更 完整 的 复审 。 加 强 了 鉴别 机 制 ,支持 
系统 管理 员 和 操作 员 的 职能 ,提供 可 信 设 施 管理 ,增强 了 配置 管理 控制 。 系 统 具 有 相当 的 
抗 渗透 能 力 。 


6 B 级 ,安全 域 级 

本 级 的 可 信 计 算 基 满足 访问 监控 器 需求 。 访 问 监控 器 是 指 监控 主体 和 客体 之 间 授 权 
访问 关系 的 部 件 。 访 问 监控 器 仲裁 主体 对 客体 的 全 部 访问 。 访 问 监控 器 本 身 是 抗 自 改 
的 ,必须 足够 小 ,能 够 分 析 和 测试 。 为 了 满足 访问 监控 器 需求 ,可 信 计 算 基 在 其 构造 时 排 
除 实施 对 安全 策略 来 说 并 非 必要 的 代码 。 在 设计 和 实现 时 ,从 系统 工程 角度 将 其 复杂 性 
降低 到 最 小 程度 。 支 持 安全 管理 员 职 能 ;扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 
信号 ;提供 系统 恢复 机 制 。 系统 具有 很 高 的 抗 渗透 能 力 。 


7. A 级 ,验证 设计 级 
本 级 的 安全 功能 与 B3 级 相同 ,但 最 明显 的 不 同 是 本 级 必须 对 相同 的 设计 运用 数学 
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形式 化 证 明 方法 加 以 验证 ,以 证 明 安全 功能 的 正确 性 。 本 级 还 规定 了 将 安全 计算 机 系统 
运送 到 现场 安装 所 必须 遵守 的 程序 。 


2052 计算 机 信息 系统 安全 保护 等 级 划分 准则 


这 是 我 国 国家 质量 技术 监督 局 于 1999 年 发 布 的 计算 机 信息 系统 安全 保护 等 级 划分 
的 基本 准则 ,是 强制 性 的 国家 标准 ,序号 为 GB17859 一 1999。 准 则 规定 了 计算 机 信息 系 
统 安全 保护 能 力 的 5 个 等 级 。 


1 概述 

《准则 ;是 计算 机 信息 系统 安全 等 级 保护 系列 标准 的 核心 ,制定 4 准则》 是 实行 计算 机 
信息 系统 安全 等 级 保护 制度 建设 的 重要 基础 ,其 主要 目的 是 : 

。 支持 计算 机 信息 系统 安全 法 规 的 制定 ; 

。 为 计算 机 信息 系统 安全 产品 的 研发 提供 功能 框架 ; 

。 为 安全 系统 的 建设 和 管理 提供 技术 指导 。 

《准则 ) 在 系统 地 、 科 学 地 分 析 计 算 机 处 理 系 统 的 安全 问题 的 基础 上 ,结合 我 国信 息 系 
统 建 设 的 实际 情况 ,将 计算 机 信息 系统 的 安全 等 级 划分 为 如 下 5 级 : 

， 第 一 级 ,用 户 自主 保护 级 ; 

。 第 二 级 ,系统 审计 保护 级 ; 

。 第 三 级 ,安全 标记 保护 级 ; 

。 第 四 级 ,结构 化 保护 级 ; 

。 第 五 级 ,访问 验证 保护 级 。 

各 级 的 命名 ,主要 考虑 了 使 各 级 的 名 称 能 够 体现 这 一 级 别 安全 功能 的 主要 特性 。 计 
算 机 信息 系统 安全 保护 能 力 随 着 安全 保护 等 级 的 增高 ,逐渐 增强 。5 个 级 别 的 安全 保护 
能 力 之 间 的 关系 如 图 20-3 所 示 。 


第 五 级 :访问 验证 保护 级 


第 四 级 :结构 化 保护 级 


第 三 级 :安全 标记 保护 级 


第 二 级 :系统 审计 保护 级 


第 一 级 :用 户 自主 保护 级 


图 20-3 各 等 级 安全 保护 能 力 示意 图 


2 技术 功能 说 明 
在 计算 机 信息 系统 的 安全 保护 中 ,一 个 重要 的 概念 是 可 信 计 算 基 。 可 信 计 算 基 是 一 
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个 实现 安全 策略 的 机 制 , 包 括 硬件 .软件 和 必要 的 固件 ,它们 将 根据 安全 策略 来 处 理 主体 
(系统 管理 员 安全 管理 员 和 用 户 ) 对 客体 (进程 .文件 .记录 、 设 备 等 ) 的 访问 。 可 信 计 算 基 
具有 以 下 特性 : 

。 实施 主体 对 客体 的 安全 访问 的 功能 ; 

。 抗 自 改 的 性 质 ; 

。 易于 分 析 与 测试 的 结构 。 

在 (准则) 规定 的 5 个 级 别 中 ,其 安全 保护 能 力主 要 取决 于 可 信 计 算 基 的 特性 , 即 各 级 
之 间 的 差异 主要 体现 在 可 信 计 算 基 的 构造 及 它 所 具有 的 安全 保护 能 力 上 。 

2053 通用 安全 评估 准则 

1 概述 

通用 安全 评估 准则 (CC) 是 一 个 国际 标准 。 该 标准 描述 了 这 么 一 个 规则 :“……… 可 作 
为 评估 IT 产品 与 系统 的 基础 …… ,这 个 标准 允许 在 相互 独立 的 不 同安 全 评估 结果 之 间 
进行 比较 …… ,提供 一 套 公共 的 用 于 IT 产品 与 系统 的 安全 功能 集 ,以 及 适应 该 功能 集 的 
安全 保障 的 测度 。 评 估 过 程 确定 了 IT 产品 与 系统 关于 安全 功能 及 保障 的 可 信和 水 平 ”。 
CC 由 3 个 部 分 组 成 : 安全 功能 ,安全 保障 与 评估 方法 。 信 息 系统 安全 工程 (ISSE) 可 以 利 
用 CC 作为 工具 支持 其 行为 ,包括 为 信息 保护 系统 制定 系统 级 的 描述 和 支持 批准 过 程 。 


重视 
所 有 者 | 希望 最 小 化 
利用 
可 能 意识 到 
威胁 代理 


增 加 


希望 滥用 或 破坏 
图 20-4 CC 中 的 安全 概念 与 相互 关系 


图 20-4 显示 CC 是 如 何 应 用 的 ,用 CC 的 语法 建立 信息 安全 的 过 程 是 符合 ISSE 过 程 

的 。 发 所 信息 保护 需求 的 行为 提供 了 各 种 信息 ,如 所 有 者 怎样 评估 资产 .威胁 代理 是 什 

么 .什么 是 威胁 、 什 么 是 对 策 ( 要 求 与 功能 ) 和 什么 是 风险 (部 分 地 )。 定 义 信息 保护 系统 的 

行为 提供 了 用 于 描述 如 下 事务 的 信息 : 什么 是 对 策 ( 命 名 组 件 ) .什么 是 脆弱 性 (基于 体系 
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结构 )、 什 么 是 风险 (更 全 面 )。 设 计 信 息 保护 系统 的 行为 提供 了 如 下 信息 : 什么 是 对 策 
(验证 了 的 信息 保护 产品 功能 ) .什么 是 脆弱 性 (基于 设计 的 、 组 合并 验证 了 的 测试 结果 ) 和 
什么 是 风险 (更 加 全 面 )。 实 现 信息 保护 系统 的 行为 最 后 提供 了 如 下 信息 : 什么 是 对 策 
(安装 了 的 \ 有 效 的 信息 系统 保护 功能 ) .什么 是 脆弱 性 (基于 有 效 性 与 漏洞 测试 实现 结 
果 ) ,什么 是 风险 (更 加 全 面 )。CC 并 不 描述 个 体 和 操作 的 安全 ,也 不 描述 评估 的 有 效 性 
或 其 他 使 系统 更 有 效 的 管理 经 验 。CC 提供 了 一 种 标准 的 语言 与 语法 ,用 户 和 开发 者 可 
以 用 它 来 声明 系统 的 通用 功能 (保护 轮廓 或 PP) 或 被 评估 的 特定 性 能 (安全 目标 或 ST)。 

PP 都 以 标准 化 的 格式 定义 了 一 套 功能 要 求 与 保障 要 求 ,它们 或 者 来 自 于 CC, 或 由 用 
户 定义 ,用 来 解决 已 知 的 或 假设 的 安全 问题 (可 能 定义 成 对 被 保护 资产 的 威胁 ) 。 对 于 一 
个 完全 与 安全 目标 一 致 的 评估 对 象 (TOE) 集 合 ,PP 允许 各 对 象 有 独立 的 安全 要 求 表述 。 
PP 设计 是 可 重用 的 ,并 且 定 义 了 可 有 效 满足 确定 目标 的 TOE 环境 。PP 也 包括 了 安全 
性 与 安全 目标 的 基本 依据 。 即 使 评估 对 象 是 特定 类 型 的 IT 产品 .系统 (如 操作 系统 、 数 
据 库 管理 系统 智能卡、 防火 墙 等 ) ,其 安全 需求 的 定义 也 不 会 因 系统 不 同 而 不 同 。 

PP 可 以 由 用 户 团体 IT 产品 开发 者 或 其 他 有 兴趣 定义 这 样 一 个 需求 集合 的 集体 开 
发 。PP 给 了 消费 者 一 个 参考 特定 安全 需求 集合 的 手段 ,并 使 得 用 户 对 这 些 要 求 的 评估 变 
得 容易 。 因 此 ,PP 是 一 个 合适 的 用 于 ISSE 开发 并 描述 其 架构 的 CC 文档 ,可 以 作为 查询 
与 技术 评估 的 基础 。 

ST 包括 一 个 参考 PP 的 安全 需求 的 集合 ,或 者 直接 引用 CC 的 功能 或 保障 部 分 ,或 是 
更 加 详细 地 对 其 说 明 。ST 使 得 对 稳定 TOE 的 安全 需求 的 描述 能 够 有 效 地 满足 确定 目 
标的 需要 。ST 包括 评估 对 象 的 概要 说 明 、 安 全 要 求 与 目标 及 其 根据 。ST 是 各 团体 对 
TOE 所 提供 的 安全 性 达成 一 致 的 基础 。 

PP 和 ST 也 可 以 是 在 负责 管理 系统 开发 的 团体 .系统 的 核心 成 员 及 负责 生产 该 系统 
的 组 织 之 间 互 相 沟通 的 一 种 手段 。 在 这 种 环境 中 ,应 该 建议 ST 对 PP 做 出 响应 。PP 与 
ST 的 内 容 可 以 在 参与 者 之 间 协 商 。 基 于 PP 与 ST 的 对 实际 系统 的 评估 是 验收 过 程 的 一 
部 分 。 总 的 来 说 , 非 IT 的 安全 需求 也 将 被 协商 和 评估 。 通 常安 全 问题 的 解决 并 不 是 独 
立 于 系统 的 其 他 需求 的 。ST 与 PP 的 关系 如 图 20-5 所 示 。 

CC 的 观点 是 ,在 对 即将 要 信任 的 IT 产品 和 系统 进行 评估 的 基础 之 上 提供 一 种 保 
障 。 评 估 是 一 种 传统 的 提供 保障 的 方式 ,同时 也 是 先期 评估 准则 文档 的 基础 。 为 了 与 现 
有 方式 一 致 ,CC 也 采纳 了 同样 的 观点 。CC 建议 专业 评估 员 加 大 评估 的 广度 、 深 度 与 强 
度 ,来 检测 文档 的 有 效 性 和 IT 产品 或 系统 的 结果 。 

CC 并 不 排除 也 不 评估 其 他 获取 保障 的 方法 的 优点 。 针 对 其 他 可 蔡 代 的 获取 保障 的 
方法 正在 研究 。 这 些 研究 行为 所 产生 的 可 替代 的 方法 可 能 会 被 考虑 加 入 到 CC 之 中 ,而 
CC 的 结构 允许 它 今后 引入 其 他 方法 。 

CC 的 观点 宣称 ,用 于 评估 的 努力 越 多 .安全 保障 效果 越 好 ;CC 的 目标 是 用 最 小 的 努 
力 来 达到 必需 的 保障 水 平 。 努 力 程 度 的 增加 基于 如 下 因素 : 

。 范围 ,必须 加 强 努 力 ,因为 大 部 分 的 IT 产品 与 系统 包含 在 内 。 

。 深度 ,努力 必须 加 深 , 因 为 评估 证 据 的 搜集 依赖 于 更 好 的 设计 水 平 与 实现 细节 。 

。 强度 ,努力 必须 加 大 ,因为 评估 证 据 的 搜集 需要 结构 化 和 正式 的 方式 。 
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TOE 物 理 环境 要 求 保护 的 资产 TOE 目 的 [----3 
1 " 二 . 
! 安全 环境 素材 
| | (PP/ST) 
人 人 
| i 1 
假 设 组 织 的 安全 的 问题 
安全 目标 
CC 要 求 类 a 安全 目标 素材 
一 (PP/ST) 
环境 要 求 | 1 安全 要 求 素材 
一 --: (PP/ST) 
a i 安全 规范 素材 
2 全 人 一 一 (PP/ST) 


图 20-5 保护 轮廓 与 安全 目标 的 关系 


。 评估 过 程 为 PP 与 ST 所 需 的 保障 提供 了 证 据 , 如 图 20-6 所 示 。 评 估 的 结果 就 是 
对 信息 保护 系统 的 某 种 程度 上 的 确信 。 其 他 ISSE 过 程 ,如 风险 管理 ,提供 了 将 这 
种 确信 转化 成 管理 决策 准则 的 方法 。 
图 20-7 说 明了 系统 (或 子 系统 ) 可 以 参照 PP 或 ST 得 到 评估 , 辅 以 外 部 认证 与 批准 
准则 ,从 而 创建 评估 产品 集 , 以 对 系统 的 批准 过 程 提 供 支持 。 


2 安全 功能 要 求 与 安全 保证 要 求 

(1) 安全 功能 要 求 

安全 功能 要 求 分 为 以 下 11 类 ; 

。 安全 审计 类 ; 

。 通信 类 (主要 是 身份 真实 性 和 抗 否认 ); 
密码 支持 类 ; 

。 用 户 数据 保护 类 ; 

"标识 和 鉴别 类 ; 

。 安全 管理 类 (与 TSF 有 关 的 管理 ); 

。 隐秘 类 (保护 用 户 隐 私 ); 

。 TSF 保护 类 (TOE 自身 安全 保护 ); 

。 资源 利用 类 (从 资源 管理 角度 确保 TSF 安全 ); 


415 


ee 第 4 篇 网 络 安全 工程 Eee 


保障 技术 [于 本 | 


产 生 给 出 证 据 
保障 


拥有 者 
需要 


经 评估 的 
产品 目录 


PPs 目 录 
(可 选 ) 


经 评估 的 产品 


已 批准 的 系统 


系统 批准 准 册 


图 20-7 使 用 评估 结果 


。 TOE 访问 类 (从 对 TOE 的 访问 控制 确保 安全 性 ); 

。 可 信和 路 径 / 信 道 类 。 

这 些 安全 类 又 分 为 族 , 族 中 又 分 为 组 件 。 组 件 是 对 具体 安全 要 求 的 描述 。 从 叙述 上 
看 ,每 一 个 族 中 的 具体 安全 要 求 也 是 有 差别 的 ,但 CC 没有 以 这 些 差别 作为 划分 安全 等 级 
的 依据 。 

(2) 安全 保证 要 求 

在 对 安全 保护 框架 和 安全 目标 的 评估 进行 说 明 以 后 ,将 具体 的 安全 保证 要 求 分 为 以 
下 8 类 : 
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。 配置 管理 类 ; 

。 分 发 和 操作 类 ; 

。 开发 类 ; 

。 指导 性 文档 类 ， 

。 生命 周期 支持 类 ; 

。 测试 类 ; 

。 脆弱 性 评定 类 ; 

。 保证 的 维护 类 。 

按照 对 上 述 8 类 安全 保证 要 求 的 不 断 递 增 ,CC 将 TOE 分 为 7 个 安全 保证 级 ,分 
别 是 ， 

。 第 一 级 ,功能 测试 级 ; 

。 第 二 级 ,结构 测试 级 ; 
第 三 级 ,系统 测试 和 检查 级 ; 
。 第 四 级 ,系统 设计 ,测试 和 复查 级 ; 
。 第 五 级 , 半 形 式 化 设计 和 测试 级 ; 
。 第 六 级 , 半 形 式 化 验证 的 设计 和 测试 级 ; 
。 第 七 级 ,形式 化 验证 的 设计 和 测试 级 。 


2066 ”本 章 小 结 


风险 管理 是 识别 .评估 和 减少 风险 的 过 程 。 风 险 评估 对 漏洞 和 威胁 的 可 能 性 进行 检 
查 , 并 考虑 事故 造成 的 可 能 影响 。 描 述 威胁 和 漏洞 最 好 的 方法 是 根据 对 经 营业 务 的 影响 
来 描述 。 

成 熟 度 模型 可 用 来 测量 组 织 的 解决 方案 (软件 硬件 、 系 统 ) 的 能 力 和 效力 ,可 用 于 安 
全 评估 方法 ,以 测量 针对 业界 最 佳 实际 的 安全 体系 结构 。 可 以 就 以 下 3 个 方面 进行 分 析 : 
安全 计划 ,技术 和 配置 操作 运行 过 程 。 

弄 清楚 威胁 的 来 源 是 减少 威胁 得 二 可 能 性 的 关键 。 威 胁 源 包 括 人 为 差错 和 设计 缺 
陷 . 内 部 人 员 ,临时 员工 .自然 灾害 和 环境 危害 .黑客 和 其 他 入 侵 者 、 病 毒 和 其 他 恶意 软件 。 

威胁 的 情况 包括 系统 管理 过 程 . 电 子 窃听 、 软 件 利 用 、 信 任 转移 、 数 据 驱 动 攻击 .拒绝 
服务 .DNS 欺骗 、 源 路 由 ,以 及 内 部 威胁 。 应 采取 相应 对 策 和 保护 措施 。 

安全 评估 可 分 5 个 阶段 : 发 现 阶段 ,对 安全 体系 结构 及 安全 基础 设施 设计 文本 的 
检查 ; 加 人 工 检查 阶段 ,将 文本 描述 的 体系 结构 和 设计 与 实际 的 结构 进行 比较 , 找 出 差 
别 ; @ 漏 洞 测试 阶段 ,包括 网 络 、 平 台 和 应 用 的 漏洞 测试 ,平台 扫描 ,应 用 扫描 ; 由 监控 和 
报警 ; 安全 体系 结构 的 处 理 过程 。 在 此 基础 上 得 出 风险 分 析 文 本 以 及 经 营业 务 影响 
分 析 。 

网 络 安全 评估 的 目标 是 保证 所 有 可 能 影响 网 络 安全 的 利用 是 关闭 的 。 评 估 的 过 程 包 
括 了 解 网 络 的 拓扑 、 获 取 公 共 访 问 机 器 的 名 字 及 其 IP 地 址 ,对 全 部 可 达 主 机 做 端口 扫描 
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的 处 理 。 

根据 计算 机 信息 系统 安全 技术 发 展 的 要 求 ,提出 信息 系统 安全 保护 等 级 划分 和 评估 
的 基本 准则 。 可 信 计 算 机 系统 评估 准则 (TCSEC) 是 全 世界 第 1 个 计算 机 系统 安全 等 级 
划分 的 基本 准则 ,又 称 橘 皮 书 。 通 用 安全 评估 准则 (CC) 是 由 西方 6 国 7 方 联合 提出 的 作 
为 评估 IT 产品 与 系统 的 基础 的 一 个 国际 标准 。 计 算 机 信息 系统 安全 保护 等 级 划分 准则 
GB17859 一 1999 是 我 国 首次 制定 的 为 评价 .开发 .研究 计算 机 及 网 络 系统 的 安全 提供 的 
指导 准则 。 


习 题 


什么 是 风险 管理 ? 简 述 风险 评估 的 方法 。 
. 安全 成 熟 度 模型 的 作用 是 什么 ?应 从 哪些 方面 来 分 析 ? 
. 弄 清楚 威胁 的 来 源 是 减少 威胁 得 偿 可 能 性 的 关键 ,哪些 是 主要 的 威胁 源 ? 
. 什么 是 防止 电子 窃听 的 保护 措施 ? 
. 什么 是 导致 不 安全 的 最 常见 的 软件 缺陷 ? 
. 简 述 从 安全 成 熟 度 模型 3 个 方面 的 安全 评估 阶段 。 
. 简 述 网 络 安全 评估 的 过 程 和 方法 。 
.可 信 计 算 机 系统 评估 准则 的 适用 范围 是 什么 ? 
9. 计算 机 信息 系统 安全 保护 等 级 划分 准则 是 一 个 强制 性 的 国家 标准 ,制定 该 标准 的 
主要 目的 是 什么 ?安全 等 级 是 如 何 划 分 的 ? 
10. 通用 安全 评估 准则 CC 是 一 个 国际 标准 ,CC 由 哪 几 部 分 组 成 ? 其 主要 内 容 是 
什么 ? 


ol am 人 wo- 
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Systems-Requirements 


读者 意见 反馈 

亲爱 的 读者 : 

感谢 您 一 直 以 来 对 清华 版 计算 机 教材 的 支持 和 爱护 。 为 了 今后 为 您 提供 更 优秀 的 教材 ， 请 
您 抽出 宝贵 的 时 间 来 填写 下 面 的 意见 反馈 表 ， 以 便 我 们 更 好 地 对 本 教材 做 进一步 改进 。 同 时 如 
果 您 在 使 用 本 教材 的 过 程 中 遇 到 了 什么 问题 ， 或 者 有 什么 好 的 建议 ， 也 请 您 来 信 告 诉 我 们 。 

地 址 : 北京 市 海淀 区 双 清 路 学 研 大 厦 A 座 602 室 计算 机 与 信息 分 社 营销 室 收 
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教材 名 称 : 网 络 安全 〈 第 2 版) 
ISBN: 978-7-302-17963-4 


年 龄 : 所 在 院 校 /专业 : 
通信 地 址 : 
电子 信箱 : 
您 使 用 本 书 是 作为 : 口 指定 教材 口 选 用 教材 口 辅导 教材 口 自 学 教材 
您 对 本 书 封面 设计 的 满意 度 : 
口 很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 
您 对 本 书 印 刷 质量 的 满意 度 : 
口 很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 


您 对 本 书 的 总 体 满意 度 : 

从 语言 质量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
从 科技 含量 角度 看 口 很 满意 口 满意 口 一 般 口 不 满意 
本 书 最 令 您 满意 的 是 : 

口 指导 明确 口内 容 充 实 口 讲解 详尽 口 实例 丰富 

您 认为 本 书 在 哪些 地 方 应 进行 修改 ? 〈 可 附 页 ) 


您 希望 本 书 在 哪些 方面 进行 改进 ? 〈 可 附 页 ) 


电子 教案 支持 


敬爱 的 教师 : 

为 了 配合 本 课程 的 教学 需要 ， 本 教材 配 有 配套 的 电子 教案 (素材 )， 有 需求 的 教师 可 以 
与 我 们 联系 ， 我 们 将 向 使 用 本 教材 进行 教学 的 教师 免费 赠送 电子 教案 素材)， 希 望 有 助 于 
教学 活动 的 开展 。 相 关 信 息 请 拨打 电话 010-62776969 或 发 送 电子 邮件 至 
jsijc@tup .tsinghua.edu.cn 咨询 ， 也 可 以 到 清华 大 学 出 版 社 主页 (http:/wwwtup.com.cn 或 
http:/wwwtuptsinghua.educn) 上 查询 。 


